Acerca del contenido de seguridad de macOS Sierra 10.12.4, Actualización de seguridad 2017-001 El Capitan y Actualización de seguridad 2017-001 Yosemite

En este documento se describe el contenido de seguridad de macOS Sierra 10.12.4, Actualización de seguridad 2017-001 El Capitan y Actualización de seguridad 2017-001 Yosemite.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos de Apple. Las comunicaciones con Apple se pueden cifrar mediante la clave PGP de seguridad de los productos Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

macOS Sierra 10.12.4, Actualización de seguridad 2017-001 El Capitan y Actualización de seguridad 2017-001 Yosemite

Disponible el 27 de marzo de 2017

apache

Disponibilidad: macOS Sierra 10.12.3

Impacto: un atacante remoto podría provocar una denegación de servicio

Descripción: existían varios problemas en Apache antes de 2.4.25. Estos problemas se han solucionado mediante la actualización de Apache a la versión 2.4.25.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

Entrada actualizada el 28 de marzo de 2017

apache_mod_php

Disponibilidad: macOS Sierra 10.12.3

Impacto: existían varios problemas en PHP antes de 5.6.30

Descripción: existían varios problemas en PHP antes de 5.6.30. Estos problemas se han solucionado mediante la actualización de PHP a la versión 5.6.30.

CVE-2016-10158

CVE-2016-10159

CVE-2016-10160

CVE-2016-10161

CVE-2016-9935

AppleGraphicsPowerManagement

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado una condición de carrera mejorando la gestión de la memoria.

CVE-2017-2421: @cocoahuke

AppleRAID

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2017-2438: sss y Axis de 360 Nirvan Team

Audio

Disponibilidad: macOS Sierra 10.12.3

Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2430: investigador anónimo en colaboración con la Zero Day Initiative de Trend Micro

CVE-2017-2462: investigador anónimo en colaboración con la Zero Day Initiative de Trend Micro

Bluetooth

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2017-2420: Pekka Oikarainen, Matias Karhumaa y Marko Laakso de Synopsys Software Integrity Group

Bluetooth

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2017-2427: Axis y sss de Qihoo 360 Nirvan Team

Bluetooth

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2017-2449: sss y Axis de 360 Nirvan Team

Carbon

Disponibilidad: macOS Sierra 10.12.3

Impacto: el procesamiento de un archivo .dfont creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: existía un problema de desbordamiento de búfer en la gestión de archivos de tipos de letra. Este problema se ha solucionado mejorando la comprobación de los límites.

CVE-2017-2379: riusksk (泉哥) de Tencent Security Platform Department, John Villamil, Doyensec

CoreGraphics

Disponibilidad: macOS Sierra 10.12.3

Impacto: procesar una imagen creada con fines malintencionados podría originar la denegación del servicio

Descripción: se ha solucionado una recurrencia infinita mejorando la gestión del estado.

CVE-2017-2417: riusksk (泉哥) de Tencent Security Platform Department

CoreMedia

Disponibilidad: macOS Sierra 10.12.3

Impacto: el procesamiento de un archivo .mov creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: existía un problema de corrupción de la memoria en la gestión de los archivos .mov. Este problema se ha solucionado mejorando la gestión de memoria.

CVE-2017-2431: kimyok de Tencent Security Platform Department

CoreText

Disponibilidad: macOS Sierra 10.12.3

Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Disponibilidad: macOS Sierra 10.12.3

Impacto: procesar un sitio web creado con fines malintencionados podría provocar la revelación de la memoria de procesos

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de entrada.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Disponibilidad: macOS Sierra 10.12.3

Impacto: procesar un mensaje de texto creado con fines malintencionados podría provocar la denegación del servicio

Descripción: se ha solucionado un problema de falta de recursos mediante la mejora de la validación de entrada.

CVE-2017-2461: Isaac Archambault de IDAoADI, investigador anónimo

curl

Disponibilidad: macOS Sierra 10.12.3

Impacto: una entrada del usuario a la API de libcurl creada con fines malintencionados podría permitir la ejecución de código arbitrario

Descripción: se ha solucionado un desbordamiento de búfer mediante la mejora de la comprobación de límites.

CVE-2016-9586: Daniel Stenberg de Mozilla

EFI

Disponibilidad: macOS Sierra 10.12.3

Impacto: un adaptador Thunderbolt creado con fines malintencionados podría recuperar la contraseña de cifrado de FileVault 2

Descripción: existía un problema en la gestión de DMA. Se ha solucionado el problema mediante la activación de VT-d en EFI.

CVE-2016-7585: Ulf Frisk (@UlfFrisk)

FinderKit

Disponibilidad: macOS Sierra 10.12.3

Impacto: los permisos podrían restablecerse de forma inesperada al enviar enlaces

Descripción: existía un problema de permisos en la gestión de la función Enviar enlace de contenido compartido de iCloud. Este problema se ha solucionado mediante la mejora de los controles de los permisos.

CVE-2017-2429: Raymond Wong DO del Arnot Ogden Medical Center

Entrada actualizada el 23 de agosto de 2017

FontParser

Disponibilidad: macOS Sierra 10.12.3

Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la validación de las entradas.

CVE-2017-2487: riusksk (泉哥) de Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) de Tencent Security Platform Department

FontParser

Disponibilidad: macOS Sierra 10.12.3

Impacto: analizar un archivo de tipo de letra creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la validación de las entradas.

CVE-2017-2407: riusksk (泉哥) de Tencent Security Platform Department

FontParser

Disponibilidad: macOS Sierra 10.12.3

Impacto: procesar un sitio web creado con fines malintencionados podría provocar la revelación de la memoria de procesos

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de entrada.

CVE-2017-2439: John Villamil, Doyensec

FontParser

Disponibilidad: OS X El Capitan v10.11.6 y OS X Yosemite v10.10.5

Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: existía un problema de desbordamiento de búfer en la gestión de archivos de tipos de letra. Este problema se ha solucionado mejorando la comprobación de los límites.

CVE-2016-4688: Simon Huang de la compañía Alipay

Entrada añadida el 11 de abril de 2017

HTTPProtocol

Disponibilidad: macOS Sierra 10.12.3

Impacto: un servidor HTTP/2 malintencionado podría provocar un comportamiento indefinido

Descripción: existían varios problemas en nghttp2 antes de 1.17.0. Estos problemas se han solucionado mediante la actualización de nghttp2 a la versión 1.17.0.

CVE-2017-2428

Entrada actualizada el 28 de marzo de 2017

Hypervisor

Disponibilidad: macOS Sierra 10.12.3

Impacto: las aplicaciones que utilizan la estructura del hypervisor podrían filtrar el registro del control CR8 entre el invitado y el host

Descripción: se ha solucionado un problema de filtración de información mediante la mejora de la gestión del estado.

CVE-2017-2418: Alex Fishman e Izik Eidus de Veertu Inc.

iBooks

Disponibilidad: macOS Sierra 10.12.3

Impacto: el análisis de un archivo de iBooks creado con fines malintencionados podría provocar la revelación de los archivos locales

Descripción: existía una fuga de información en la gestión de direcciones URL de archivos. Este problema se ha solucionado mejorando la gestión de las URL.

CVE-2017-2426: Craig Arendt de Stratum Security, Jun Kokatsu (@shhnjk)

ImageIO

Disponibilidad: macOS Sierra 10.12.3

Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) de KeenLab, Tencent

ImageIO

Disponibilidad: macOS Sierra 10.12.3, OS X El Capitan v10.11.6 y OS X Yosemite v10.10.5

Impacto: ver un archivo JPEG creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2432: investigador anónimo en colaboración con la Zero Day Initiative de Trend Micro

ImageIO

Disponibilidad: macOS Sierra 10.12.3

Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2467

ImageIO

Disponibilidad: macOS Sierra 10.12.3

Impacto: procesar una imagen creada con fines malintencionados podría provocar el cierre inesperado de la aplicación

Descripción: existía una lectura fuera de los límites en las versiones de LibTIFF antes de 4.0.7. Este problema se ha solucionado actualizando LibTIFF en ImageIO a la versión 4.0.7.

CVE-2016-3619

Driver de gráficos Intel

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2443: Ian Beer de Google Project Zero

Driver de gráficos Intel

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación podría divulgar datos de la memoria de kernel

Descripción: el problema de validación se ha solucionado mediante un saneamiento de entrada mejorado.

CVE-2017-2489: Ian Beer de Google Project Zero

Entrada añadida el 31 de marzo de 2017

IOATAFamily

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2017-2408: Yangkang (@dnpushme) de Qihoo360 Qex Team

IOFireWireAVC

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2436: Orr A, IBM Security

IOFireWireAVC

Disponibilidad: macOS Sierra 10.12.3

Impacto: un atacante local podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2437: Benjamin Gnahm (@mitp0sh) de Blue Frost Security

IOFireWireFamily

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación podría provocar la denegación del servicio

Descripción: se ha solucionado una falta de referencia de puntero nulo mediante la mejora de la validación de las entradas.

CVE-2017-2388: Brandon Azad, investigador anónimo

Kernel

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2398: Lufeng Li de Qihoo 360 Vulcan Team

CVE-2017-2401: Lufeng Li de Qihoo 360 Vulcan Team

Kernel

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel

Descripción: existía un problema de validación de las entradas en el kernel. Se ha solucionado el problema mejorando la validación de las entradas.

CVE-2017-2410: Apple

Kernel

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un desbordamiento de enteros mejorando la validación de las entradas.

CVE-2017-2440: investigador anónimo

Kernel

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de raíz

Descripción: se ha solucionado una condición de carrera mejorando la gestión de la memoria.

CVE-2017-2456: lokihardt de Google Project Zero

Kernel

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2017-2472: Ian Beer de Google Project Zero

Kernel

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2473: Ian Beer de Google Project Zero

Kernel

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de un byte mejorando la comprobación de límites.

CVE-2017-2474: Ian Beer de Google Project Zero

Kernel

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado una condición de carrera mediante bloqueo.

CVE-2017-2478: Ian Beer de Google Project Zero

Kernel

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.

CVE-2017-2482: Ian Beer de Google Project Zero

CVE-2017-2483: Ian Beer de Google Project Zero

Kernel

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de alto nivel

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2017-2490: Ian Beer de Google Project Zero, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido

Entrada añadida el 31 de marzo de 2017

Kernel

Disponibilidad: macOS Sierra 10.12.3

Impacto: la pantalla podría seguir estando desbloqueada inesperadamente con la tapa cerrada

Descripción: se ha solucionado el problema de bloqueo insuficiente mejorando la gestión del estado.

CVE-2017-7070: Ed McKenzie

Entrada añadida el 10 de agosto de 2017

Teclados

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación podría ejecutar código arbitrario

Descripción: se ha solucionado un desbordamiento de búfer mediante la mejora de la comprobación de límites.

CVE-2017-2458: Shashank (@cyberboyIndia)

Llavero

Disponibilidad: macOS Sierra 10.12.3

Impacto: un atacante que interceptase conexiones TLS podría ser capaz de leer secretos protegidos con el llavero de iCloud.

Descripción: en determinadas circunstancias, el llavero de iCloud no validaba correctamente la autenticidad de los paquetes OTR. Para resolver este problema se ha mejorado la validación.

CVE-2017-2448: Alex Radocea de Longterm Security, Inc.

Entrada actualizada el 30 de marzo de 2017

libarchive

Disponibilidad: macOS Sierra 10.12.3

Impacto: un atacante local podría ser capaz de cambiar los permisos del sistema de archivos en directorios arbitrarios

Descripción: había un problema de validación en la gestión de los enlaces simbólicos. Para resolver este problema se ha mejorado la validación de los enlaces simbólicos.

CVE-2017-2390: Omer Medan de enSilo Ltd

libc++abi

Disponibilidad: macOS Sierra 10.12.3

Impacto: cambiar los identificadores de una aplicación C++ malintencionada a los identificadores fuente podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2017-2441

LibreSSL

Disponibilidad: macOS Sierra 10.12.3 y OS X El Capitan v10.11.6

Impacto: un usuario local podría filtrar información confidencial de los usuarios

Descripción: un canal lateral de hora permitía a un atacante recuperar las claves. Este problema se ha solucionado mediante la introducción de cómputos de tiempo constantes.

CVE-2016-7056: Cesar Pereida García y Billy Brumley (Universidad Tecnológica de Tampere)

libxslt

Disponibilidad: OS X El Capitan v10.11.6

Impacto: varias vulnerabilidades en libxslt

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

CVE-2017-2477

Entrada actualizada el 30 de marzo de 2017

libxslt

Disponibilidad: macOS Sierra 10.12.3, OS X El Capitan v10.11.6 y Yosemite v10.10.5

Impacto: varias vulnerabilidades en libxslt

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

CVE-2017-5029: Holger Fuhrmannek

Entrada añadida el 28 de marzo de 2017

Cliente de MCX

Disponibilidad: macOS Sierra 10.12.3

Impacto: la eliminación de un perfil de configuración con varias cargas útiles podría no eliminar la confianza en los certificados de Active Directory

Descripción: existía un problema de desinstalación de perfiles. Este problema se ha solucionado mediante la mejora de la limpieza de las cuentas.

CVE-2017-2402: investigador anónimo

Menús

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación podría divulgar datos de la memoria de procesos

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de entrada.

CVE-2017-2409: Sergey Bylokhov

Multi-Touch

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2017-2422: @cocoahuke

OpenSSH

Disponibilidad: macOS Sierra 10.12.3

Impacto: varios problemas en OpenSSH

Descripción: existían varios problemas en OpenSSH antes de 7.4. Estos problemas se han solucionado mediante la actualización de OpenSSH a la versión 7.4.

CVE-2016-10009

CVE-2016-10010

CVE-2016-10011

CVE-2016-10012

OpenSSL

Disponibilidad: macOS Sierra 10.12.3

Impacto: un usuario local podría filtrar información confidencial de los usuarios

Descripción: se ha solucionado un problema del canal lateral de hora usando cómputos de tiempo constantes.

CVE-2016-7056: Cesar Pereida García y Billy Brumley (Universidad Tecnológica de Tampere)

Impresión

Disponibilidad: macOS Sierra 10.12.3

Impacto: hacer clic en un enlace IPP(S) creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de cadena de formato sin control mediante la mejora de la validación de las entradas.

CVE-2017-2403: beist de GrayHash

python

Disponibilidad: macOS Sierra 10.12.3

Impacto: el procesamiento de archivos zip con Python creados con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: existía un problema de corrupción de memoria en la gestión de archivos zip. Se ha solucionado el problema mejorando la validación de las entradas.

CVE-2016-5636

QuickTime

Disponibilidad: macOS Sierra 10.12.3

Impacto: la visualización de archivos multimedia creados con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

Descripción: existía un problema de corrupción de memoria en QuickTime. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.

CVE-2017-2413: Simon Huang(@HuangShaomang) y pjf de IceSword Lab de Qihoo 360

Seguridad

Disponibilidad: macOS Sierra 10.12.3

Impacto: es posible que se validen correctamente las firmas con SecKeyRawVerify() vacías de forma inesperada

Descripción: existía un problema de validación con las llamadas de API criptográficas. Este problema se ha solucionado mejorando la validación de los parámetros.

CVE-2017-2423: investigador anónimo

Seguridad

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación podría ejecutar un código arbitrario con privilegios de raíz

Descripción: se ha solucionado un desbordamiento de búfer mediante la mejora de la comprobación de límites.

CVE-2017-2451: Alex Radocea de Longterm Security, Inc.

Seguridad

Disponibilidad: macOS Sierra 10.12.3

Impacto: procesar un certificado x509 creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: había un problema de corrupción de memoria en el análisis de certificados. Se ha solucionado el problema mejorando la validación de las entradas.

CVE-2017-2485: Aleksandar Nikolic de Cisco Talos

SecurityFoundation

Disponibilidad: macOS Sierra 10.12.3

Impacto: el procesamiento de un certificado creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de “double free” mediante la mejora de la gestión de la memoria.

CVE-2017-2425: kimyok de Tencent Security Platform Department

sudo

Disponibilidad: macOS Sierra 10.12.3

Impacto: un usuario de un grupo con el nombre “admin” en un servidor de directorios de red podría escalar privilegios de forma inesperada usando sudo

Descripción: existía un problema de acceso en sudo. Este problema se ha solucionado mediante la mejora de la comprobación de los permisos.

CVE-2017-2381

Protección de la integridad del sistema

Disponibilidad: macOS Sierra 10.12.3

Impacto: una aplicación creada con fines malintencionados podría modificar las ubicaciones del disco protegidas

Descripción: existía un problema de validación en la gestión de la instalación del sistema. Este problema se ha solucionado mediante la mejora de la gestión y la validación durante el proceso de instalación.

CVE-2017-6974: Patrick Wardle de Synack

tcpdump

Disponibilidad: macOS Sierra 10.12.3

Impacto: un atacante en una posición de red privilegiada podría ejecutar código arbitrario con asistencia del usuario

Descripción: existían varios problemas en tcpdump antes de 4.9.0. Estos problemas se han solucionado mediante la actualización de tcpdump a la versión 4.9.0.

CVE-2016-7922

CVE-2016-7923

CVE-2016-7924

CVE-2016-7925

CVE-2016-7926

CVE-2016-7927

CVE-2016-7928

CVE-2016-7929

CVE-2016-7930

CVE-2016-7931

CVE-2016-7932

CVE-2016-7933

CVE-2016-7934

CVE-2016-7935

CVE-2016-7936

CVE-2016-7937

CVE-2016-7938

CVE-2016-7939

CVE-2016-7940

CVE-2016-7973

CVE-2016-7974

CVE-2016-7975

CVE-2016-7983

CVE-2016-7984

CVE-2016-7985

CVE-2016-7986

CVE-2016-7992

CVE-2016-7993

CVE-2016-8574

CVE-2016-8575

CVE-2017-5202

CVE-2017-5203

CVE-2017-5204

CVE-2017-5205

CVE-2017-5341

CVE-2017-5342

CVE-2017-5482

CVE-2017-5483

CVE-2017-5484

CVE-2017-5485

CVE-2017-5486

tiffutil

Disponibilidad: macOS Sierra 10.12.3

Impacto: procesar una imagen creada con fines malintencionados podría provocar el cierre inesperado de la aplicación

Descripción: existía una lectura fuera de los límites en versiones de LibTIFF antes de 4.0.7. Este problema se ha solucionado mediante la actualización de LibTIFF en AKCmds a la versión 4.0.7.

CVE-2016-3619

CVE-2016-9533

CVE-2016-9535

CVE-2016-9536

CVE-2016-9537

CVE-2016-9538

CVE-2016-9539

CVE-2016-9540

macOS Sierra 10.12.4, Actualización de seguridad 2017-001 El Capitan y Actualización de seguridad 2017-001 Yosemite incluyen el contenido de seguridad de Safari 10.1.

Otros agradecimientos

XNU

Queremos agradecer a Lufeng Li de Qihoo 360 Vulcan Team su ayuda.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: