Acerca del contenido de seguridad de OS X Mountain Lion v10.8.5 y la actualización de seguridad 2013-004

En este documento, se describe el contenido de seguridad de OS X Mountain Lion v10.8.5 y la actualización de seguridad 2013-004.

El contenido y la actualización de seguridad se pueden descargar e instalar a través de las preferencias de Actualización de software o desde la página Descargas de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta “Cómo usar la clave PGP de seguridad de los productos Apple”.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de las actualizaciones de seguridad, consulta “Actualizaciones de seguridad de Apple”.

OS X Mountain Lion v10.8.5 y la actualización de seguridad 2013-004

• Apache

  Disponible para Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

  Impacto: Varias vulnerabilidades en Apache.

  Descripción: Existían varias vulnerabilidades en Apache. La más grave de ellas podía provocar un ataque de scripts de sitios. Estos problemas se solucionaron mediante la actualización de Apache a la versión 2.2.24.

  ID CVE

  CVE-2012-0883

  CVE-2012-2687

  CVE-2012-3499

  CVE-2012-4558

• Bind

  Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

  Impacto: Varias vulnerabilidades en BIND.

  Descripción: Existían varias vulnerabilidades en BIND. La más grave de ellas podía provocar una denegación de servicio. Estos problemas se solucionaron mediante la actualización de BIND a la versión 9.8.5-P1. CVE-2012-5688 no afectó a los sistemas Mac OS X v10.7.

  ID CVE

  CVE-2012-3817

  CVE-2012-4244

  CVE-2012-5166

  CVE-2012-5688

  CVE-2013-2266

• Certificate Trust Policy

  Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

  Impacto: Se actualizaron los certificados raíz.

  Descripción: Se agregaron o eliminaron varios certificados de la lista de raíces del sistema. La lista completa de las raíces reconocidas del sistema se puede consultar mediante la aplicación Acceso a Llaveros.

• ClamAV

  Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5

  Impacto: Varias vulnerabilidades en ClamAV.

  Descripción: Existen varias vulnerabilidades en ClamAV. La más grave de ellas puede provocar la ejecución de código arbitrario. En esta actualización, los problemas se solucionan mediante la actualización de ClamAV a la versión 0.97.8.

  ID CVE

  CVE-2013-2020

  CVE-2013-2021

• CoreGraphics

  Disponible para OS X Mountain Lion v10.8 a v10.8.4

  Impacto: La visualización de un archivo PDF creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

  Descripción: Existía un desbordamiento de búferes en el manejo de datos codificados JBIG2 en archivos PDF. Este problema se solucionó mediante una comprobación adicional de los límites.

  ID CVE

  CVE-2013-1025: Felix Groebert del equipo de seguridad de Google

• ImageIO

  Disponible para OS X Mountain Lion v10.8 a v10.8.4

  Impacto: La visualización de un archivo PDF creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

  Descripción: Existía un desbordamiento de búferes en el manejo de datos codificados JPEG2000 en archivos PDF. Este problema se solucionó mediante una comprobación adicional de los límites.

  ID CVE

  CVE-2013-1026: Felix Groebert del equipo de seguridad de Google

• Installer

  Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

  Impacto: Los paquetes se podían abrir después de la revocación del certificado.

  Descripción: Cuando Installer encontraba un certificado revocado, aparecía un cuadro de diálogo con una opción para continuar. El problema se solucionó mediante la eliminación del cuadro de diálogo y el rechazo de paquetes revocados.

  ID CVE

  CVE-2013-1027

• IPSec

  Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

  Impacto: Un atacante podía interceptar datos protegidos con autenticación híbrida IPSec.

  Descripción: El nombre DNS de un servidor de autenticación híbrida IPSec no coincidía con el certificado, lo que permitía que un atacante con un certificado para cualquier servidor suplantara a cualquier otro. Este problema se solucionó mediante la verificación adecuada del certificado.

  ID CVE

  CVE-2013-1028: Alexander Traud de www.traud.de

• Kernel

  Disponible para OS X Mountain Lion v10.8 a v10.8.4

  Impacto: Un usuario de la red local podía provocar una denegación de servicio.

  Descripción: Una verificación incorrecta del código de análisis de paquetes IGMP en el kernel permitía a un usuario capaz de enviar paquetes IGMP al sistema provocar fallos del kernel. Este problema se solucionó mediante la eliminación de la verificación.

  ID CVE

  CVE-2013-1029: Christopher Bohn de PROTECTSTAR INC.

• Mobile Device Management

  Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

  Impacto: Las contraseñas se podían revelar a otros usuarios locales.

  Descripción: La contraseña se transmitía en la línea de comandos a mdmclient, lo que permitía que otros usuarios del mismo sistema pudieran verla. Este problema se solucionó comunicando la contraseña mediante un canal.

  ID CVE

  CVE-2013-1030: Per Olofsson de la Universidad de Gothenburg

• OpenSSL

  Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

  Impacto: Varias vulnerabilidades en OpenSSL.

  Descripción: Existían varias vulnerabilidades en OpenSSL. La más grave de ellas podía provocar la divulgación de los datos de los usuarios. Estos problemas se solucionaron mediante la actualización de OpenSSL a la versión 0.9.8y.

  ID CVE

  CVE-2012-2686

  CVE-2013-0166

  CVE-2013-0169

• PHP

  Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

  Impacto: Varias vulnerabilidades en PHP.

  Descripción: Existían varias vulnerabilidades en PHP. La más grave de ellas podía provocar la ejecución de código arbitrario. Estos problemas se solucionaron mediante la actualización de PHP a la versión 5.3.26.

  ID CVE

  CVE-2013-1635

  CVE-2013-1643

  CVE-2013-1824

  CVE-2013-2110

• PostgreSQL

  Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

  Impacto: Varias vulnerabilidades en PostgreSQL.

  Descripción: Existen varias vulnerabilidades en PostgreSQL. La más grave de ellas puede provocar daños en los datos o la extensión de privilegios. CVE-2013-1901 no afecta a los sistemas OS X Lion. En esta actualización, los problemas se solucionan mediante la actualización de PostgreSQL a la versión 9.1.9 en los sistemas OS X Mountain Lion y a la versión 9.0.4 en los sistemas OS X Lion.

  ID CVE

  CVE-2013-1899

  CVE-2013-1900

  CVE-2013-1901

• Power Management

  Disponible para OS X Mountain Lion v10.8 a v10.8.4

  Impacto: El protector de pantalla no se iniciaba tras el período especificado.

  Descripción: Existía un problema de bloqueo de la aserción de energía. Este problema se solucionó mediante la mejora del manejo de bloqueos.

  ID CVE

  CVE-2013-1031

• QuickTime

  Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

  Impacto: La visualización de un archivo de video creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

  Descripción: Existía un problema de daños en la memoria en el manejo de átomos “idsc” en los archivos de video de QuickTime. Este problema se solucionó mediante una comprobación adicional de los límites.

  ID CVE

  CVE-2013-1032: Jason Kratzer en colaboración con iDefense VCP

• Screen Lock

  Disponible para OS X Mountain Lion v10.8 a v10.8.4

  Impacto: Un usuario con acceso a la función Compartir pantalla podía evitar el bloqueo de pantalla cuando había otra sesión de usuario iniciada.

  Descripción: Existía un problema de administración de sesiones en el manejo de las sesiones en las que se compartía la pantalla por parte del bloqueo de pantalla. Este problema se solucionó mejorando el seguimiento de las sesiones.

  ID CVE

  CVE-2013-1033: Jeff Grisso de Atos IT Solutions, Sébastien Stormacq

• sudo

  Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8 a v10.8.4

  Impacto: Un atacante que tenía el control de la cuenta de un usuario administrador podía obtener privilegios de usuario raíz sin saber la contraseña del usuario.

  Descripción: Mediante la configuración del reloj del sistema, un atacante podía usar sudo para obtener privilegios de usuario raíz en los sistemas en los que ya se había usado sudo. En OS X, solo los usuarios administradores pueden modificar el reloj del sistema. Este problema se solucionó mediante la verificación de marcas de fecha y hora no válidas.

  ID CVE

  CVE-2013-1775

• Nota: En OS X Mountain Lion v10.8.5 también se soluciona un problema en el que determinadas cadenas Unicode pueden provocar el cierre inesperado de las aplicaciones.