Acerca del contenido de seguridad de OS X El Capitan 10.11.2, la Actualización de seguridad 2015-005 Yosemite y la Actualización de seguridad 2015-008 Mavericks

En este documento se describe el contenido de seguridad de OS X El Capitan 10.11.2, la Actualización de seguridad 2015-005 Yosemite y la Actualización de seguridad 2015-008 Mavericks.

Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener información sobre la clave de seguridad PGP de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

OS X El Capitan 10.11.2, Actualización de seguridad 2015-005 Yosemite y Actualización de seguridad 2015-008 Mavericks

  • apache_mod_php

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: varias vulnerabilidades en PHP

    Descripción: existían varias vulnerabilidades en versiones de PHP anteriores a la 5.5.29, la más grave de las cuales podría provocar la ejecución de código remota. Estos problemas se han solucionado actualizando PHP a la versión 5.5.30.

    ID CVE

    CVE-2015-7803

    CVE-2015-7804

  • AppSandbox

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: una aplicación con fines malintencionados puede mantener el acceso a Contactos después de revocar el acceso

    Descripción: había un problema en la gestión de la zona protegida de los enlaces duros. Se ha solucionado el problema mejorando la robustez de la zona protegida para las apps.

    ID CVE

    CVE-2015-7001: Razvan Deaconescu y Mihai Bucicoiu de la Universidad POLITEHNICA de Bucharest; Luke Deshotels y William Enck de la Universidad Estatal de Carolina del Norte; Lucas Vincenzo Davi y Ahmad-Reza Sadeghi de la Universidad Técnica de Darmstadt

  • Bluetooth

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: un usuario local podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema de corrupción de memoria en la interfaz Bluetooth HCI. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-7108: Ian Beer de Google Project Zero

  • CFNetwork HTTPProtocol

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: un atacante con una posición de red privilegiada podría ser capaz de eludir la HSTS

    Descripción: había un problema de validación de entrada en el procesamiento de direcciones URL. Este problema se ha solucionado mejorando la validación de las direcciones URL.

    ID CVE

    CVE-2015-7094: Tsubasa Iinuma (@llamakko_cafe) de Gehirn Inc. y Muneaki Nishimura (nishimunea)

  • Compresión

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Description: había un problema de acceso a la memoria no inicializado en zlib. Este problema se ha solucionado mejorando la inicialización de la memoria y la validación adicional de las secuencias zlib.

    ID CVE

    CVE-2015-7054: j00ru

  • Perfiles de configuración

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: un atacante local podría ser capaz de instalar un perfil de configuración sin privilegios de administrador

    Descripción: existía un problema al instalar los perfiles de configuración. Este problema se ha solucionado mejorando las comprobaciones de autorizaciones.

    ID CVE

    CVE-2015-7062: David Mulder de Dell Software

  • CoreGraphics

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 y v10.11.1

    Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: existía un problema de corrupción de la memoria en el procesamiento de archivos de tipo de letra. Se ha solucionado el problema mejorando la validación de las entradas.

    ID CVE

    CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Team

  • Reproducción CoreMedia

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 y v10.11.1

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: existía un problema de corrupción de memoria en el procesamiento de archivos multimedia que contenían errores. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-7074: Apple

    CVE-2015-7075

  • Imágenes de disco

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel

    Descripción: había un problema de corrupción de la memoria en el análisis de las imágenes de disco. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-7110: Ian Beer de Google Project Zero

  • EFI

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: un usuario local podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema de validación de rutas en el cargador de kernel. Esto se ha solucionado mejorando el saneamiento del entorno.

    ID CVE

    CVE-2015-7063: Apple

  • Marcador de archivos

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida

    Descripción: existía un problema de validación de rutas en los marcadores de las apps. Esto se ha solucionado mejorando el saneamiento del entorno.

    ID CVE

    CVE-2015-7071: Apple

  • Hypervisor

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: un usuario local podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema de uso después de liberación en la gestión de objetos VM. Este problema se ha solucionado mejorando la gestión de memoria.

    ID CVE

    CVE-2015-7078: Ian Beer de Google Project Zero

  • iBooks

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: analizar un archivo de iBooks creado con fines malintencionados podría provocar la revelación de la información de los usuarios

    Descripción: había un problema de referencia de entidades externas XML con el análisis de iBook. Para resolver este problema se ha mejorado el análisis.

    ID CVE

    CVE-2015-7081: Behrouz Sadeghipour (@Nahamsec) y Patrik Fehrenbach (@ITSecurityguard)

  • ImageIO

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 y v10.11.1

    Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: existía un problema de corrupción de la memoria en ImageIO. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-7053: Apple

  • Driver de gráficos Intel

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: un usuario local podría ejecutar código arbitrario con privilegios del sistema

    Descripción: se solucionó un problema de falta de referencia a un puntero nulo mediante la mejora de la validación de entrada.

    ID CVE

    CVE-2015-7076: Juwei Lin de TrendMicro, beist de ABH de BoB, y JeongHoon Shin@A.D.D

  • Driver de gráficos Intel

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: un usuario local podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema de corrupción de la memoria en el Driver de gráficos Intel. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-7106: Ian Beer de Google Project Zero, Juwei Lin de TrendMicro, beist y ABH of BoB, y JeongHoon Shin@A.D.D

  • Driver de gráficos Intel

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: un usuario local podría ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema de acceso a memoria fuera de los límites en el Driver de gráficos Intel. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-7077: Ian Beer de Google Project Zero

  • IOAcceleratorFamily

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: había un problema de corrupción de la memoria en IOAcceleratorFamily. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-7109: Juwei Lin de TrendMicro

  • IOHIDFamily

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: existían varios problemas de corrupción de la memoria en la API de IOHIDFamily. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-7111: beist y ABH de BoB

    CVE-2015-7112: Ian Beer de Google Project Zero

  • IOKit SCSI

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel

    Descripción: había una falta de referencia a un puntero nulo en la gestión de determinados tipos de clientes de usuario. Para resolver este problema se ha mejorado la validación.

    ID CVE

    CVE-2015-7068: Ian Beer de Google Project Zero

  • IOThunderboltFamily

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: un usuario local podría provocar una denegación de servicio del sistema

    Descripción: existía una falta de referencia a un puntero en la gestión que hacía IOThunderboltFamily de determinados tipos de clientes de usuario. Este problema se ha solucionado mediante la mejora de la validación de contextos de IOThunderboltFamily.

    ID CVE

    CVE-2015-7067: Juwei Lin de TrendMicro

  • Kernel

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: una aplicación local podría ser capaz de provocar la denegación de servicio

    Descripción: se han solucionado varios problemas de denegación de servicio mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-7040: equipo de Lufeng Li de Qihoo 360 Vulcan

    CVE-2015-7041: equipo de Lufeng Li de Qihoo 360 Vulcan

    CVE-2015-7042: equipo de Lufeng Li de Qihoo 360 Vulcan

    CVE-2015-7043: Tarjei Mandt (@kernelpool)

  • Kernel

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel

    Descripción: existían varios problemas de corrupción de la memoria en el kernel. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-7083: Ian Beer de Google Project Zero

    CVE-2015-7084: Ian Beer de Google Project Zero

  • Kernel

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel

    Descripción: había un error en el análisis de los mensajes mach. Este problema se ha solucionado mejorando la validación de los mensajes mach.

    ID CVE

    CVE-2015-7047: Ian Beer de Google Project Zero

  • Herramientas de kext

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel

    Descripción: existía un problema de validación durante la carga de las extensiones del Kernel. Este problema se ha solucionado aplicando verificaciones adicionales.

    ID CVE

    CVE-2015-7052: Apple

  • Acceso a Llaveros

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: una aplicación con fines malintencionados podría enmascararse como el servidor de llaveros.

    Descripción: existía un problema en la manera en la que el acceso del llavero interactuaba con el agente de llaveros. Este problema se ha solucionado eliminando la función antigua.

    ID CVE

    CVE-2015-7045: Luyi Xing y XiaoFeng Wang de la Universidad de Indiana Bloomington, Xiaolong Bai de la Universidad de Indiana Bloomington y la Universidad Tsinghua, Tongxin Li de la Universidad de Pekín, Kai Chen de la Universidad de Indiana Bloomington y el Institute of Information Engineering, Xiaojing Liao del Instituto de Tecnología de Georgia, Shi-Min Hu de la Universidad Tsinghua, y Xinhui Han de la Universidad de Pekín

  • libarchive

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 y v10.11.1

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: existía un problema de corrupción de memoria en el procesamiento de archivos. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2011-2895: @practicalswift

  • libc

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: procesar un paquete creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: había varios desbordamientos de búfer en la biblioteca estándar de C. Estos problemas se han solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-7038 : Brian D. Wells de E. W. Scripps, Narayan Subramanian de Symantec Corporation/Veritas S.A.

    • CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)

      Entrada actualizada el 3 de marzo de 2017

  • libexpat

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: Varias vulnerabilidades en expat

    Descripción: existían varias vulnerabilidades en la versión de expat antes de la 2.1.0. Se solucionaron los problemas mediante la actualización de expat a la versión 2.1.0.

    ID CVE

    CVE-2012-0876: Vincent Danen

    CVE-2012-1147: Kurt Seifried

    CVE-2012-1148: Kurt Seifried

  • libxml2

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 y v10.11.1

    Impacto: analizar un documento XML creado con fines malintencionados podría provocar la revelación de información del usuario

    Descripción: había un problema de corrupción de memoria en el análisis de archivos XML. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-7115: Wei Lei y Liu Yang de Nanyang Technological University

    CVE-2015-7116: Wei Lei y Liu Yang de Nanyang Technological University

  • OpenGL

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 y v10.11.1

    Impacto: visitar un sitio web creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: existían varios problemas de corrupción de memoria en OpenGL. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-7064: Apple

    CVE-2015-7065: Apple

    CVE-2015-7066: Tongbo Luo y Bo Qu de Palo Alto Networks

  • OpenLDAP

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: un cliente remoto no autenticado podría ser capaz de provocar la denegación de servicio

    Descripción: había un problema de validación de las entradas en OpenLDAP. Se ha solucionado el problema mejorando la validación de las entradas.

    ID CVE

    CVE-2015-6908

  • OpenSSH

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: varias vulnerabilidades en LibreSSL

    Descripción: existían varias vulnerabilidades en las versiones de LibreSSL anteriores a la 2.1.8. Estos problemas se han solucionado al actualizar LibreSSL a la versión 2.1.8.

    ID CVE

    CVE-2015-5333

    CVE-2015-5334

  • QuickLook

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 y v10.11.1

    Impacto: abrir un archivo de iWork malicioso podría provocar la ejecución de código arbitrario

    Descripción: existía un problema de corrupción de memoria en la gestión de los archivos de iWork. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-7107

  • Zona protegida

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: una aplicación con fines malintencionados con privilegios root podría eludir la aleatorización del espacio de direcciones del kernel

    Descripción: había un problema de separación de privilegios insuficiente en xnu. Este problema se ha solucionado mejorando las comprobaciones de autorizaciones.

    ID CVE

    CVE-2015-7046: Apple

  • Seguridad

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: un atacante remoto podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: había un problema de corrupción de la memoria en la gestión de enlaces SSL. Para resolver este problema se ha mejorado la gestión de la memoria.

    ID CVE

    CVE-2015-7073: Benoit Foucher de ZeroC, Inc.

  • Seguridad

    Disponible para: OS X Mavericks v10.9.5 y OS X Yosemite v10.10.5

    Impacto: procesar un certificado creado con fines malintencionados podría provocar la ejecución de un código arbitrario

    Descripción: existían múltiples problemas de corrupción de la memoria en la herramienta de decodificación ASN.1. Estos problemas se han solucionado mejorando la validación de las entradas

    ID CVE

    CVE-2015-7059: David Keeler de Mozilla

    CVE-2015-7060: Tyson Smith de Mozilla

    CVE-2015-7061: Ryan Sleevi de Google

  • Seguridad

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5, OS X El Capitan v10.11 y v10.11.1

    Impacto: una aplicación con fines malintencionados podría obtener acceso a ítems del llavero de un usuario

    Descripción: existía un problema en la validación de las listas de control de acceso de los ítems del llavero. Este problema se ha solucionado mejorando las comprobaciones de la lista de control de acceso.

    ID CVE

    CVE-2015-7058

  • System Integrity Protection

    Disponible para: OS X El Capitan v10.11 y v10.11.1

    Impacto: una aplicación con fines malintencionados con privilegios root podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: existía un problema de privilegios en la gestión de montajes de unión. Este problema se ha solucionado mejorando las comprobaciones de autorizaciones.

    ID CVE

    CVE-2015-7044: MacDefender

Notas

  • Se recomienda la Actualización de seguridad 2015-005 y 2015-008 para todos los usuarios y mejora la seguridad de OS X. Después de la instalación, el módulo de navegación web de QuickTime 7 no estará habilitado de forma predeterminada. Averigua qué puedes hacer si todavía necesitas este módulo antiguo.

  • OS X El Capitan v10.11.2 incluye el contenido de seguridad de Safari 9.0.2.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: