Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener información acerca de la Clave PGP de la Seguridad de los productos de Apple, visita "Cómo usar la Clave PGP de la Seguridad de los productos de Apple".
Siempre que sea posible, se utilizan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.
Para obtener información acerca de las actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".
Esta actualización se puede descargar e instalar mediante Actualización de software o desde el sitio web del Soporte técnico de Apple.
OS X Mavericks 10.9.2 y Actualización de seguridad 2014-001
- 

- 

Apache

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

Impacto: Varias vulnerabilidades en Apache

Descripción: Existían varias vulnerabilidades en Apache; la más importante podía permitir la ejecución de ataques de secuencias de comandos entre sitios. Estos problemas se solucionan mediante la actualización de Apache con la versión 2.2.26.

ID CVE

CVE-2013-1862

CVE-2013-1896

 

- 

- 

Zona protegida (sandbox) de apps

Disponible para: OS X Mountain Lion v10.8.5

Impacto: La zona protegida de apps puede omitirse

Descripción: La interfaz LaunchServices para iniciar aplicaciones permitía a las apps de la zona protegida especificar la lista de argumentos transmitida al nuevo proceso. Una aplicación vulnerable de la zona protegida podría hacer mal uso de esto para salir de dicha zona. El problema se solucionó mediante un proceso que impide que las aplicaciones de la zona protegida especifiquen argumentos. Este problema no afecta a los sistemas que ejecutan OS X Mavericks v10.9 o posteriores.

ID CVE

CVE-2013-5179 : Friedrich Graeter de The Soulmen GbR

 

- 

- 

ATS

Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

Impacto: La visualización o la descarga de un documento que contenga una fuente incrustada creada con fines malintencionados pueden provocar la ejecución de código arbitrario

Descripción: Existía un problema de corrupción de memoria al procesar fuentes de Tipo 1. Este problema se solucionó mejorando la comprobación de los límites.

ID CVE

CVE-2014-1254 : Felix Groebert del Google Security Team

 

- 

- 

ATS

Disponible para: OS X Mavericks 10.9 y OS X Mavericks 10.9.1

Impacto: La zona protegida de apps puede omitirse

Descripción: Existía un problema de corrupción de memoria al procesar mensajes Mach pasados a ATS. Este problema se solucionó mejorando la comprobación de los límites.

ID CVE

CVE-2014-1262 : Meder Kydyraliev del Google Security Team

 

- 

- 

ATS

Disponible para: OS X Mavericks 10.9 y OS X Mavericks 10.9.1

Impacto: La zona protegida de apps puede omitirse

Descripción: Existía un problema de liberación arbitraria al procesar mensajes Mach pasados a ATS. Este problema se solucionó mediante la validación de los mensajes Mach.

ID CVE

CVE-2014-1255 : Meder Kydyraliev del Google Security Team

 

- 

- 

ATS

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

Impacto: La zona protegida de apps puede omitirse

Descripción: Existía un problema de desbordamiento del búfer al procesar mensajes Mach pasados a ATS. Este problema se solucionó mediante la comprobación adicional de los límites.

ID CVE

CVE-2014-1256 : Meder Kydyraliev del Google Security Team

 

- 

- 

Política de confianza en certificados

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

Impacto: Se actualizaron los certificados raíz

Descripción: Se actualizó el conjunto de certificados raíz del sistema. La lista completa de certificados raíz reconocidos puede verse mediante la aplicación Acceso a Llaveros.

 

- 

- 

Cookies de CFNetwork

Disponible para: OS X Mountain Lion v10.8.5

Impacto: Las cookies de sesión pueden persistir incluso tras restablecer Safari

Descripción: Al restablecer Safari no siempre se eliminaban las cookies de sesión hasta que Safari se cerraba. El problema se solucionó mediante una mejora del procesamiento de las cookies de sesión. Este problema no afecta a los sistemas que ejecutan OS X Mavericks v10.9 o posteriores.

ID CVE

CVE-2014-1257 : Rob Ansaldo de Amherst College, Graham Bennett

 

- 

- 

CoreAnimation

Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

Impacto: Visitar un sitio web malicioso podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: Existía un desbordamiento del búfer de pila cuando CoreAnimation procesaba imágenes. Este problema se solucionó mejorando la comprobación de los límites.

ID CVE

CVE-2014-1258 : Karl Smith de NCC Group

 

- 

- 

CoreText

Disponible para: OS X Mavericks 10.9 y OS X Mavericks 10.9.1

Impacto: Las aplicaciones que utilizan CoreText pueden ser vulnerables al cierre inesperado de la aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de presencia de signo al procesar fuentes Unicode en CoreText. Este problema se resuelve mediante una mejora en la comprobación de los límites.

ID CVE

CVE-2014-1261 : Lucas Apa y Carlos Mario Penagos de IOActive Labs

 

- 

- 

curl

Disponible para: OS X Mavericks 10.9 y OS X Mavericks 10.9.1

Impacto: Un atacante con una posición de red privilegiada podía interceptar credenciales de usuario u otra información confidencial

Descripción: Al usar curl para conectarse a una URL HTTPS que contiene una dirección IP, no se valida la dirección IP por comparación con el certificado. Este problema no afecta a los sistemas anteriores a OS X Mavericks v10.9.

ID CVE

CVE-2014-1263 : Roland Moriz de Moriz GmbH

 

- 

- 

Seguridad de los datos

Disponible para: OS X Mavericks 10.9 y OS X Mavericks 10.9.1

Impacto: Un atacante con una posición de red privilegiada podría capturar o modificar datos en sesiones protegidas con SSL/TLS

Descripción: Secure Transport no validaba correctamente la autenticidad de la conexión. Este problema se solucionó mediante la restauración de los pasos de validación que faltaban.

ID CVE

CVE-2014-1266

 

- 

- 

Fecha y hora

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

Impacto: Un usuario sin privilegios podría cambiar el reloj del sistema

Descripción: Esta actualización cambia el comportamiento del comando
systemsetup
de modo que exija tener privilegios de administrador para modificar el reloj del sistema.
ID CVE

CVE-2014-1265

 

- 

- 

Marcador de archivos

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

Impacto: La visualización de un archivo con un nombre malintencionado puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

Descripción: Existía un desbordamiento del búfer al procesar nombres de archivos. Este problema se solucionó mejorando la comprobación de los límites.

ID CVE

CVE-2014-1259

 

- 

- 

Finder

Disponible para: OS X Mavericks 10.9 y OS X Mavericks 10.9.1

Impacto: Acceder a la ACL de un archivo a través del Finder puede hacer que otros usuarios obtengan acceso no autorizado a los archivos

Descripción: Acceder a la ACL de un archivo a través del Finder puede dañar las ACL del archivo. Este problema se solucionó mediante la mejora del procesamiento de las ACL.

ID CVE

CVE-2014-1264

 

- 

- 

ImageIO

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

Impacto: Ver un archivo JPEG creado con fines malintencionados podría provocar la revelación de contenido de la memoria

Descripción: Existía un problema de acceso a la memoria no inicializada cuando libjpeg procesaba marcadores JPEG, lo cual revelaba el contenido de la memoria. Este problema se solucionó mediante la mejora del procesamiento de JPEG.

ID CVE

CVE-2013-6629 : Michal Zalewski

 

- 

- 

IOSerialFamily

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

Impacto: La ejecución de una aplicación malintencionada podía provocar la ejecución de código arbitrario en el kernel

Descripción: Existía un acceso a una matriz fuera de los límites en el driver IOSerialFamily. Este problema se solucionó mediante comprobaciones de límites adicionales. Este problema no afecta a los sistemas que ejecutan OS X Mavericks v10.9 o posteriores.

ID CVE

CVE-2013-5139 : @dent1zt

 

- 

- 

LaunchServices

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5

Impacto: Un archivo podía mostrar una extensión incorrecta

Descripción: Existía un problema en el procesamiento de determinados caracteres unicode que podía permitir que los nombres de archivo mostraran extensiones incorrectas. El problema se solucionó mediante el filtrado de los caracteres unicode no seguros para que no se muestren en los nombres de archivo. Este problema no afecta a los sistemas que ejecutan OS X Mavericks v10.9 o posteriores.

ID CVE

CVE-2013-5178 : Jesse Ruderman de Mozilla Corporation, Stephane Sudre de Intego

 

- 

- 

Drivers NVIDIA

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

Impacto: Ejecutar una aplicación malintencionada podía dar como resultado la ejecución de código arbitrario dentro de la tarjeta gráfica

Descripción: Existía un problema que permitía escribir en una memoria de confianza de la tarjeta gráfica. El problema se solucionó mediante la eliminación de la capacidad del host para escribir en esa memoria.

ID CVE

CVE-2013-5986 : Marcin Kościelnicki del proyecto X.Org Foundation Nouveau

CVE-2013-5987 : Marcin Kościelnicki del proyecto X.Org Foundation Nouveau

 

- 

- 

PHP

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

Impacto: Varias vulnerabilidades en PHP

Descripción: Existían varias vulnerabilidades en PHP; la más grave podía haber provocado la ejecución de código arbitrario. Estos problemas se resolvieron mediante la actualización de PHP con la versión 5.4.24 en OS X Mavericks v10.9 y 5.3.28 en OS X Lion y Mountain Lion.

ID CVE

CVE-2013-4073

CVE-2013-4113

CVE-2013-4248

CVE-2013-6420

 

- 

- 

QuickLook

Disponible para: OS X Mountain Lion v10.8.5

Impacto: La descarga de un archivo de Microsoft Office creado con fines malintencionados podría provocar el cierre de una aplicación de manera inesperada o la ejecución de código arbitrario

Descripción: Existía un problema de corrupción de memoria cuando QuickLook procesaba archivos de Microsoft Office. La descarga de un archivo de Microsoft Office creado con fines malintencionados podría haber provocado la finalización inesperada de una aplicación o la ejecución de código arbitrario. Este problema no afecta a los sistemas que ejecutan OS X Mavericks v10.9 o posteriores.

ID CVE

CVE-2014-1260 : Felix Groebert del Google Security Team

 

- 

- 

QuickLook

Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

Impacto: La descarga de un archivo de Microsoft Word creado con fines malintencionados podría provocar el cierre de una aplicación de manera inesperada o la ejecución de código arbitrario

Descripción: Existía un problema de vulnerabilidad "double free" cuando QuickLook procesaba documentos de Microsoft Word. El problema se solucionó al mejorar la administración de la memoria.

ID CVE

CVE-2014-1252 : Felix Groebert del Google Security Team

 

- 

- 

QuickTime

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

Descripción: Existía un desbordamiento del búfer al procesar átomos "ftab". Este problema se solucionó mejorando la comprobación de los límites.

ID CVE

CVE-2014-1246 : Investigador anónimo en colaboración con Zero Day Initiative de HP

 

- 

- 

QuickTime

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de corrupción de memoria al procesar átomos "dref". Este problema se solucionó mejorando la comprobación de los límites.

ID CVE

CVE-2014-1247 : Tom Gallagher y Paul Bates en colaboración con Zero Day Initiative de HP

 

- 

- 

QuickTime

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

Descripción: Existía un desbordamiento del búfer al procesar átomos "ldat". Este problema se solucionó mejorando la comprobación de los límites.

ID CVE

CVE-2014-1248 : Jason Kratzer en colaboración con iDefense VCP

 

- 

- 

QuickTime

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

Impacto: La visualización de una imagen PSD creada con fines malintencionados puede ocasionar la finalización inesperada de la aplicación o la ejecución de código arbitrario

Descripción: Existía un desbordamiento del búfer al procesar imágenes PSD. Este problema se solucionó mejorando la comprobación de los límites.

ID CVE

CVE-2014-1249 : dragonltx del Tencent Security Team

 

- 

- 

QuickTime

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de intercambio de bytes fuera de límites al procesar elementos "ttfo". Este problema se solucionó mejorando la comprobación de los límites.

ID CVE

CVE-2014-1250 : Jason Kratzer en colaboración con iDefense VCP

 

- 

- 

QuickTime

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5, OS X Mavericks 10.9 y OS X Mavericks 10.9.1

Impacto: Reproducir un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

Descripción: Existía un problema de corrupción de memoria al procesar átomos "stsz". Este problema se solucionó mejorando la comprobación de los límites.

ID CVE

CVE-2014-1245 : Tom Gallagher y Paul Bates en colaboración con Zero Day Initiative de HP

 

- 

- 

Secure Transport

Disponible para: OS X Mountain Lion v10.8.5

Impacto: Un atacante podría ser capaz de descifrar datos protegidos mediante SSL

Descripción: Había ataques conocidos contra la confidencialidad de SSL 3.0 y TLS 1.0 cuando un conjunto de cifrado utilizaba cifrado por bloques en modo CBC. Para resolver estos problemas en aplicaciones que usan Secure Transport, se habilitó la mitigación de fragmentos de 1 byte de manera predeterminada para esta configuración.

 
ID CVE

CVE-2011-3389 : Juliano Rizzo y Thai Duong