Acerca del contenido de seguridad de OS X El Capitan v10.11

En este documento se describe el contenido de seguridad de OS X El Capitan v10.11.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener información sobre la clave de seguridad PGP de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para saber más acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

OS X El Capitan v10.11

  • Agenda

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un atacante local podría ser capaz de insertar código arbitrario en los procesos que cargan la estructura de la agenda

    Descripción: Existía un problema en la gestión de la estructura de la agenda de una variable de entorno. Este problema se ha solucionado mejorando la gestión de las variables de entorno.

    ID CVE

    CVE-2015-5897: Dan Bastone de Gotham Digital Science

  • AirScan

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un atacante con una posición privilegiada en la red podría ser capaz de extraer la carga de los paquetes eSCL enviados a través de una conexión segura

    Descripción: Existía un problema en el procesamiento de paquetes eSCL. Este problema se ha solucionado mejorando las comprobaciones de validación.

    ID CVE

    CVE-2015-5853: Un investigador anónimo

  • apache_mod_php

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Varias vulnerabilidades en PHP

    Descripción: Existían varias vulnerabilidades en las versiones de PHP anteriores a 5.5.27, entre ellas una que podría provocar la ejecución de código arbitrario. Este problema se ha solucionado actualizando PHP a la versión 5.5.27.

    ID CVE

    CVE-2014-9425

    CVE-2014-9427

    CVE-2014-9652

    CVE-2014-9705

    CVE-2014-9709

    CVE-2015-0231

    CVE-2015-0232

    CVE-2015-0235

    CVE-2015-0273

    CVE-2015-1351

    CVE-2015-1352

    CVE-2015-2301

    CVE-2015-2305

    CVE-2015-2331

    CVE-2015-2348

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3329

    CVE-2015-3330

  • Apple Online Store Kit

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Una aplicación con fines malintencionados podría obtener acceso a ítems del llavero de un usuario

    Descripción: Existía un problema en la validación de las listas de control de acceso de los ítems del llavero de iCloud. Este problema se ha solucionado mejorando las comprobaciones de la lista de control de acceso.

    ID CVE

    CVE-2015-5836: XiaoFeng Wang de la Universidad de Indiana, Luyi Xing de la Universidad de Indiana, Tongxin Li de la Universidad de Pekín, Tongxin Li de la Universidad de Pekín, Xiaolong Bai de la Universidad de Qinghua

  • Eventos de Apple

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un usuario conectado a través de compartir pantalla podría enviar Eventos de Apple a la sesión de un usuario local

    Descripción: Existía un problema con el filtrado de Eventos de Apple que permitía que algunos usuarios enviaran eventos a otros usuarios. Este problema se ha solucionado mejorando la gestión de Eventos de Apple.

    ID CVE

    CVE-2015-5849: Jack Lawrence (@_jackhl)

  • Audio

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: La reproducción de un archivo de audio con fines malintencionados podría provocar la finalización inesperada de una aplicación

    Descripción: Existía un problema de corrupción de memoria en la gestión de archivos de audio. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5862: YoungJin Yoon de Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Universidad Yonsei, Seúl (Corea)

  • bash

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Varias vulnerabilidades en bash

    Descripción: Existían varias vulnerabilidades en las versiones de bash anteriores al nivel de corrección 57 de la versión 3.2. Estos problemas se han solucionado actualizando la versión 3.2 de bash al nivel de corrección 57.

    ID CVE

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Política de confianza en certificados

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Actualización de la política de confianza en certificados

    Descripción: La política de confianza en certificados se ha actualizado. Se puede ver la lista completa de certificados en https://support.apple.com/kb/HT202858?viewlocale=es_ES.

  • Cookies de CFNetwork

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un atacante en una posición de red privilegiada puede rastrear la actividad de un usuario

    Descripción: Existía un problema con las cookies entre dominios relacionado con la gestión de los dominios de nivel superior. El problema se ha solucionado mejorando las restricciones en la creación de cookies.

    ID CVE

    CVE-2015-5885: Xiaofeng Zheng de Blue Lotus Team, Universidad de Qinghua

  • CFNetwork FTPProtocol

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Servidores de FTP con fines malintencionados podrían provocar que el cliente ejecutase un reconocimiento en otros hosts

    Descripción: Existía un problema con la gestión de los paquetes de FTP al utilizar el comando PASV. Este problema se ha solucionado mejorando la validación.

    ID CVE

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTPProtocol

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Una URL creada con fines malintencionados podría ser capaz de omitir HSTS y de filtrar información confidencial

    Descripción: Existía una vulnerabilidad en el análisis de URL en la gestión de HSTS. Este problema se ha solucionado mejorando el análisis de las URL.

    ID CVE

    CVE-2015-5858: Xiaofeng Zheng de Blue Lotus Team, Universidad de Qinghua

  • CFNetwork HTTPProtocol

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un sitio web creado con fines malintencionados podría ser capaz de realizar el seguimiento de los usuarios en el modo de navegación privada de Safari

    Descripción: Existía un problema en la gestión de estado HSTS en el modo de navegación privada de Safari. Este problema se ha solucionado mejorando la gestión de estado.

    ID CVE

    CVE-2015-5860: Sam Greenhalgh de RadicalResearch Ltd

  • CFNetwork Proxies

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Conectarse a un proxy web con fines malintencionados podría configurar cookies maliciosas para un sitio web

    Descripción: Existía un problema con la gestión de las respuestas de conexión con proxy. Este problema se ha solucionado con la eliminación del encabezado set-cookie al analizar la respuesta de conexión.

    ID CVE

    CVE-2015-5841: Xiaofeng Zheng de Blue Lotus Team, Universidad de Qinghua

  • CFNetwork SSL

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un atacante con una posición de red privilegiada podría interceptar conexiones SSL/TLS

    Descripción: Existía un problema de validación de certificados en NSURL cuando cambiaba un certificado. Este problema se ha solucionado mejorando la validación de certificados.

    ID CVE

    CVE-2015-5824: Timothy J. Wood de The Omni Group

  • CFNetwork SSL

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un atacante podría ser capaz de descifrar datos protegidos mediante SSL

    Descripción: Se conocen ataques contra la confidencialidad de RC4. Un atacante podría forzar el uso de RC4 incluso si el servidor prefería cifrados mejores, por medio del bloqueo de TLS 1.0 y conexiones superiores hasta que CFNetwork probase con SSL 3.0, que solamente permite RC4. Este problema se ha solucionado con la eliminación del recurso alternativo a SSL 3.0.

  • CoreCrypto

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un atacante podría determinar una clave privada

    Descripción: Por medio de la observación de muchos intentos de inicio de sesión o desencriptación, un atacante podría ser capaz de determinar la clave privada de RSA. Este problema se ha solucionado utilizando algoritmos de encriptación mejorados.

  • CoreText

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria en el procesamiento de archivos de tipo de letra. Este problema se ha solucionado mejorando la validación de las entradas.

    ID CVE

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Dev Tools

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Una aplicación malintencionada podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de corrupción de la memoria en dyld. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5876: beist de grayhash

  • Dev Tools

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Una aplicación podría ser capaz de omitir la firma de código

    Descripción: Existía un problema con la validación de la firma de código de los ejecutables. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-5839: @PanguTeam

  • Imágenes de disco

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un usuario local podría ejecutar código arbitrario con privilegios de sistema

    Descripción: Había un problema de corrupción de la memoria en las imágenes de disco. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Una aplicación podría ser capaz de omitir la firma de código

    Descripción: Existía un problema con la validación de la firma de código de los ejecutables. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-5839: TaiG Jailbreak Team

  • EFI

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Una aplicación con fines malintencionados puede evitar que algunos sistemas arranquen

    Descripción: Existía un problema con las direcciones cubiertas por el registro del rango protegido. Este problema se ha solucionado cambiando el rango protegido.

    ID CVE

    CVE-2015-5900: Xeno Kovah y Corey Kallenberg de LegbaCore

  • EFI

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un adaptador Apple de Thunderbolt a Ethernet malintencionado podría ser capaz de afectar a la memoria flash del firmware

    Descripción: Los adaptadores Apple de Thunderbolt a Ethernet podrían modificar el firmware del host si se conectan durante una actualización de EFI. Este problema se ha solucionado no cargando las memorias ROM opcionales durante las actualizaciones.

    ID CVE

    CVE-2015-5914: Trammell Hudson de Two Sigma Investments y snare

  • Finder

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: La función "Vaciar papelera de forma segura" podría eliminar archivos de la papelera de forma no segura

    Descripción: Existía un problema al garantizar la eliminación segura de los archivos de la papelera en algunos sistemas, como los de almacenamiento flash. Este problema se ha solucionado eliminando la opción "Vaciar papelera de forma segura".

    ID CVE

    CVE-2015-5901: Apple

  • Game Center

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Una aplicación con fines malintencionados de Game Center podría acceder a la dirección de correo electrónico de un jugador

    Descripción: Existía un problema con Game Center relacionado con la gestión del correo electrónico del jugador. Este problema se ha solucionado mejorando las restricciones de acceso.

    ID CVE

    CVE-2015-5855: Nasser Alnasser

  • Heimdal

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un atacante podría ser capaz de volver a reproducir las credenciales de Kerberos en el servidor SMB

    Descripción: Existía un problema de autenticación en las credenciales de Kerberos. Este problema se ha solucionado mediante una validación adicional de las credenciales haciendo uso de una lista de las credenciales que se han visto recientemente.

    ID CVE

    CVE-2015-5913: Tarun Chopra de Microsoft Corporation, EE. UU. y Yu Fan de Microsoft Corporation, China

  • ICU

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Varias vulnerabilidades en ICU

    Descripción: Existían varias vulnerabilidades en las versiones de ICU anteriores a la 53.1.0. Estos problemas se han solucionado actualizando ICU a la versión 55.1.

    ID CVE

    CVE-2014-8146

    CVE-2014-8147

    CVE-2015-5922

  • Instalación de estructuras antiguas

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un usuario local podría ser capaz de obtener privilegios root

    Descripción: Existía un problema de restricción en el marco privado de instalación que contenía un ejecutable con privilegios. Este problema se ha solucionado eliminando el ejecutable.

    ID CVE

    CVE-2015-5888: Apple

  • Driver de gráficos Intel

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un usuario local podría ejecutar código arbitrario con privilegios de sistema

    Descripción: Existían varios problemas de corrupción de la memoria en el driver de gráficos Intel. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5830: Yuki MIZUNO (@mzyy94)

    CVE-2015-5877: Camillus Gerard Cai

  • IOAudioFamily

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un usuario local podría ser capaz de determinar el diseño de memoria de kernel

    Descripción: Existía un problema en IOAudioFamily que ocasionaba la revelación del contenido de la memoria de kernel. Este problema se ha solucionado permutando los punteros del kernel.

    ID CVE

    CVE-2015-5864: Luca Todesco

  • IOGraphics

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel

    Descripción: Existían varios problemas de corrupción de la memoria en el kernel. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5871: Ilja van Sprundel de IOActive

    CVE-2015-5872: Ilja van Sprundel de IOActive

    CVE-2015-5873: Ilja van Sprundel de IOActive

    CVE-2015-5890: Ilja van Sprundel de IOActive

  • IOGraphics

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de determinar el diseño de la memoria de kernel

    Descripción: Existía un problema en IOGraphicsControl que podría provocar la revelación del diseño de la memoria de kernel. Este problema se ha solucionado mejorando la gestión de memoria.

    ID CVE

    CVE-2015-5865: Luca Todesco

  • IOHIDFamily

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios de sistema

    Descripción: Existían varios problemas de corrupción de la memoria en IOHIDFamily. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5866: Apple

    CVE-2015-5867: moony li de Trend Micro

  • IOStorageFamily

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un atacante local podría ser capaz de leer la memoria de kernel

    Descripción: Existía un problema de inicialización de la memoria en el kernel. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5863: Ilja van Sprundel de IOActive

  • Kernel

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel

    Descripción: Existían varios problemas de corrupción de la memoria en el kernel. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5868: Cererdlong de Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard de m00nbsd

    CVE-2015-5903: CESG

  • Kernel

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un proceso local puede modificar otros procesos sin comprobaciones de autorización

    Descripción: Existía un problema por el cual los procesos root que utilizaban la API processor_set_tasks tenían permiso para recuperar los puertos de tareas de otros procesos. Este problema se ha solucionado mediante comprobaciones adicionales de autorización.

    ID CVE

    CVE-2015-5882: Pedro Vilaça, a partir de la investigación original de Ming-chieh Pan y Sung-ting Tsai; Jonathan Levin

  • Kernel

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un atacante local podría controlar el valor de las cookies de pila

    Descripción: Existían varias vulnerabilidades en la generación de cookies de pila del espacio de usuarios. Estos problemas se han solucionado mejorando la generación de las cookies de pila.

    ID CVE

    CVE-2013-3951: Stefan Esser

  • Kernel

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un atacante podría ser capaz de lanzar ataques de denegación de servicio contra conexiones de TCP concretas sin saber el número de secuencia correcto

    Descripción: Existía un problema con la validación que hace xnu de los encabezados de paquetes de TCP. Este problema se ha solucionado mejorando el proceso de validación de los encabezados de paquetes de TCP.

    ID CVE

    CVE-2015-5879: Jonathan Looney

  • Kernel

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un atacante situado en un segmento de LAN local podría deshabilitar el enrutamiento de IPv6

    Descripción: Existía un problema de validación insuficiente en la gestión de las advertencias de router de IPv6 que permitía a un atacante establecer el límite de saltos con un valor arbitrario. Este problema se ha solucionado imponiendo un límite de saltos mínimo.

    ID CVE

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un usuario local podría ser capaz de determinar el diseño de memoria de kernel

    Descripción: Existía un problema que ocasionaba la revelación del diseño de la memoria de kernel. Este problema se ha solucionado mejorando la inicialización de las estructuras de la memoria de kernel.

    ID CVE

    CVE-2015-5842: beist de grayhash

  • Kernel

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un usuario local podría ser capaz de determinar el diseño de memoria de kernel

    Descripción: Existía un problema en las interfaces de depuración que ocasionaba la revelación del contenido de la memoria. Este problema se ha solucionado saneando la salida de las interfaces de depuración.

    ID CVE

    CVE-2015-5870: Apple

  • Kernel

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un usuario local podría ser capaz de provocar la denegación de servicio del sistema

    Descripción: Existía un problema de gestión de estado en la función de depuración. Este problema se ha solucionado mejorando la validación.

    ID CVE

    CVE-2015-5902: Sergi Álvarez ("pancake") de NowSecure Research Team

  • libc

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un atacante remoto podría provocar la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de la memoria en la función fflush. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2014-8611: Adrian Chadd y Alfred Perlstein de Norse Corporation

  • libpthread

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel

    Descripción: Existía un problema de corrupción de la memoria en el kernel. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5899: Lufeng Li de Qihoo 360 Vulcan Team

  • libxpc

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Muchas conexiones SSH podrían provocar una denegación del servicio

    Descripción: launchd no tenía límites en el número de procesos que una conexión de red podía iniciar. Este problema se ha solucionado limitando el número de procesos de SSH a 40.

    ID CVE

    CVE-2015-5881: Apple

  • Ventana de inicio de sesión

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: El bloqueo de pantalla podría no iniciarse tras el periodo de tiempo especificado

    Descripción: Existía un problema con el bloqueo de pantalla capturado. Este problema se ha solucionado mejorando la gestión de bloqueos.

    ID CVE

    CVE-2015-5833: Carlos Moreira, Rainer Dorau de rainer dorau informationsdesign, Chris Nehren, Kai Takac, Hans Douma, Toni Vaahtera y Jon Hall de Asynchrony

  • lukemftpd

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un atacante remoto podría ser capaz de denegar el servicio al servidor FTP

    Descripción: Existía un problema de procesamiento glob en tnftpd. Este problema se ha solucionado mejorando la validación glob.

    ID CVE

    CVE-2015-5917: Maksymilian Arciemowicz de cxsecurity.com

  • Mail

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: La impresión de un correo electrónico podría filtrar información confidencial del usuario

    Descripción: Existía un problema en Mail por el cual se ignoraban las preferencias del usuario al imprimir un correo electrónico. Este problema se ha solucionado mejorando la ejecución de las preferencias de usuario.

    ID CVE

    CVE-2015-5881: Owen DeLong de Akamai Technologies, Noritaka Kamiya, Dennis Klein de Eschenburg (Alemania), Jeff Hammett de Systim Technology Partners

  • Mail

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un atacante desde una posición de red privilegiada podría ser capaz de interceptar archivos adjuntos de un correo electrónico cifrado con S/MIME y enviado a través de Mail Drop

    Descripción: Existía un problema en la gestión de los parámetros de cifrado de los archivos adjuntos de gran tamaño de los correos electrónicos enviados a través de Mail Drop. Este problema se ha solucionado dejando de ofrecer la opción de Mail Drop para enviar correos electrónicos cifrados.

    ID CVE

    CVE-2015-5884: John McCombs de Integrated Mapping Ltd

  • Conectividad multipunto

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un atacante local podría ser capaz de observar los datos de varios puntos (conectividad multipunto) sin proteger

    Descripción: Existía un problema en la gestión del inicializador de conveniencia por el cual era posible rebajar activamente el nivel de encriptación hasta una sesión sin encriptación. Este problema se ha solucionado modificando el inicializador de conveniencia para que requiera encriptación.

    ID CVE

    CVE-2015-5851: Alban Diquet (@nabla_c0d3) de Data Theorem

  • NetworkExtension

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Una aplicación creada con fines malintencionados podría ser capaz de determinar el diseño de la memoria de kernel

    Descripción: Un problema con la memoria no inicializada en el kernel provocaba la divulgación del contenido de la memoria de kernel. Este problema se ha solucionado mejorando la inicialización de la memoria.

    ID CVE

    CVE-2015-5831: Maxime Villard de m00nbsd

  • Notas

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un usuario local podría ser capaz de filtrar información confidencial de los usuarios

    Descripción: Existía un problema en el análisis de los enlaces de la aplicación Notas. Este problema se ha solucionado mejorando la validación de las entradas.

    ID CVE

    CVE-2015-5878: Craig Young de Tripwire VERT y un investigador anónimo

  • Notas

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un usuario local podría ser capaz de filtrar información confidencial de los usuarios

    Descripción: Existía un problema en las secuencias de comandos entre sitios cruzados en el análisis de texto por parte de la aplicación Notas. Este problema se ha solucionado mejorando la validación de las entradas.

    ID CVE

    CVE-2015-5875: xisigr del Xuanwu LAB de Tencent (www.tencent.com)

  • OpenSSH

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Varias vulnerabilidades en OpenSSH

    Descripción: Había varias vulnerabilidades en las versiones de OpenSSH anteriores a la 6.9. Estos problemas se han solucionado actualizando OpenSSH a la versión 6.9.

    ID CVE

    CVE-2014-2532

  • OpenSSL

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Varias vulnerabilidades en OpenSSL

    Descripción: Había varias vulnerabilidades en las versiones de OpenSSL anteriores a la 0.9.8zg. Estos problemas se han solucionado actualizando OpenSSL a la versión 0.9.8zg.

    ID CVE

    CVE-2015-0286

    CVE-2015-0287

  • procmail

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Varias vulnerabilidades en procmail

    Descripción: Existían varias vulnerabilidades en las versiones de procmail anteriores a la 3.22. Estos problemas se han solucionado eliminando procmail.

    ID CVE

    CVE-2014-3618

  • remote_cmds

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un usuario local podría ejecutar código arbitrario con privilegios root

    Descripción: Existía un problema en el uso de variables de entorno por parte del binario rsh. Este problema se ha solucionado disminuyendo los privilegios de setuid del binario rsh.

    ID CVE

    CVE-2015-5889: Philip Pettersson

  • removefile

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: El procesamiento de datos malintencionados podría provocar un cierre inesperado de la aplicación.

    Descripción: Existía un fallo de desbordamiento en las rutinas de división de checkint. Este problema se ha solucionado mejorando las rutinas de división.

    ID CVE

    CVE-2015-5840: Un investigador anónimo

  • Ruby

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Varias vulnerabilidades en Ruby

    Descripción: Había varias vulnerabilidades en las versiones de Ruby anteriores a la 2.0.0p645. Estos problemas se han solucionado actualizando Ruby a la versión 2.0.0p645.

    ID CVE

    CVE-2014-8080

    CVE-2014-8090

    CVE-2015-1855

  • Seguridad

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: El estado de bloqueo del llavero podría mostrarse incorrectamente al usuario

    Descripción: Existía un problema de gestión del estado en cuanto a la forma en la que se realizaba el seguimiento del estado de bloqueo del llavero. Este problema se ha solucionado mejorando la administración del estado.

    ID CVE

    CVE-2015-5915: Peter Walz de la Universidad de Minnesota, David Ephron, Eric E. Lawrence, Apple

  • Seguridad

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Una evaluación de confianza configurada para requerir la comprobación de la revocación podría considerarse satisfactoria incluso aunque se produjeran fallos en la comprobación de revocación

    Descripción: Se especificó el indicador kSecRevocationRequirePositiveResponse pero no se implementó. Este problema se ha solucionado implementando el indicador.

    ID CVE

    CVE-2015-5894: Hannes Oud de kWallet GmbH

  • Seguridad

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un servidor remoto podría solicitar un certificado antes de identificarse

    Descripción: Secure Transport aceptaba el mensaje CertificateRequest antes del mensaje ServerKeyExchange. Este problema se ha solucionado mediante la solicitud en primer lugar de ServerKeyExchange.

    ID CVE

    CVE-2015-5887: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti y Jean Karim Zinzindohoue de INRIA Paris-Rocquencourt, Cedric Fournet y Markulf Kohlweiss de Microsoft Research y Pierre-Yves Strub de IMDEA Software Institute

  • SMB

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel

    Descripción: Existía un problema de corrupción de la memoria en el kernel. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5891: Ilja van Sprundel de IOActive

  • SMB

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un usuario local podría ser capaz de determinar el diseño de memoria de kernel

    Descripción: Existía un problema en SMBClient que ocasionaba la revelación del contenido de la memoria de kernel. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-5893: Ilja van Sprundel de IOActive

  • SQLite

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Varios casos de vulnerabilidad en SQLite v3.8.5.

    Descripción: Existían varios casos de vulnerabilidad en SQLite v3.8.5. Estos problemas se han solucionado actualizando SQLite a la versión 3.8.10.2.

    ID CVE

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • Telefonía

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un atacante local puede realizar llamadas telefónicas sin que lo sepa el usuario al utilizar Continuidad

    Descripción: Existía un problema en las comprobaciones de autorizaciones durante la realización de llamadas telefónicas. Este problema se ha solucionado mejorando las comprobaciones de autorizaciones.

    ID CVE

    CVE-2015-3785: Dan Bastone de Gotham Digital Science

  • Terminal

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: El texto creado con fines malintencionados podría engañar al usuario en Terminal

    Descripción: Terminal no trataba igual los caracteres de anulación bidireccionales al mostrar texto que al seleccionarlo. Este problema se ha solucionado suprimiendo los caracteres de anulación bidireccionales de Terminal.

    ID CVE

    CVE-2015-5883: Lukas Schauer (@lukas2511)

  • tidy

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: Existían varios problemas de corrupción de la memoria en tidy. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5522: Fernando Muñoz de NULLGroup.com

    CVE-2015-5523: Fernando Muñoz de NULLGroup.com

  • Time Machine

    Disponible para: Mac OS X v10.6.8 y versiones posteriores

    Impacto: Un atacante local podría obtener acceso a los ítems del llavero

    Descripción: Existía un problema en las copias de seguridad realizadas por el entorno de Time Machine. Este problema se ha solucionado mejorando la cobertura de las copias de seguridad de Time Machine.

    ID CVE

    CVE-2015-5854: Jonas Magazinius de Assured AB

Nota: OS X El Capitan v10.11 incluye el contenido de seguridad de Safari 9.

 

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: