Acerca del contenido de seguridad de OS X Yosemite v10.10.5 y la actualización de seguridad 2015-006
En este documento se describe el contenido de seguridad de OS X Yosemite v10.10.5 y la actualización de seguridad 2015-006.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información sobre otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
OS X Yosemite v10.10.5 y actualización de seguridad 2015-006
apache
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4
Impacto: Existían varias vulnerabilidades en Apache 2.4.16, la más grave de las cuales podía permitir que un atacante remoto generara una denegación de servicio
Descripción: Existían varias vulnerabilidades en las versiones de Apache anteriores a 2.4.16. Se solucionaron mediante la actualización de Apache a la versión 2.4.16.
ID CVE
CVE-2014-3581
CVE-2014-3583
CVE-2014-8109
CVE-2015-0228
CVE-2015-0253
CVE-2015-3183
CVE-2015-3185
apache_mod_php
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4
Impacto: Existían varias vulnerabilidades en PHP 5.5.20, la más grave de las cuales podía provocar la ejecución de código arbitrario
Descripción: Existían varias vulnerabilidades en las versiones de PHP anteriores a 5.5.20. Se solucionaron mediante la actualización de Apache a la versión 5.5.27.
ID CVE
CVE-2015-2783
CVE-2015-2787
CVE-2015-3307
CVE-2015-3329
CVE-2015-3330
CVE-2015-4021
CVE-2015-4022
CVE-2015-4024
CVE-2015-4025
CVE-2015-4026
CVE-2015-4147
CVE-2015-4148
Módulo OD de ID de Apple
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Una aplicación malintencionada podría cambiar la contraseña de un usuario local
Descripción: En algunos casos, se producía un problema de administración de estado en la autenticación de contraseñas. Para solucionar el problema, se mejoró la administración de estado.
ID CVE
CVE-2015-3799: Un investigador anónimo en colaboración con Zero Day Initiative de HP
AppleGraphicsControl
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Una aplicación malintencionada podría determinar la distribución de la memoria del kernel
Descripción: Existía un problema en AppleGraphicsControl que podría haber provocado la divulgación de la distribución de la memoria del kernel. Para solucionar este problema, se mejoró la comprobación de límites.
ID CVE
CVE-2015-5768: JieTao Yang de KeenTeam
Bluetooth
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Un usuario local podría ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de daños en la memoria en IOBluetoothHCIController. El problema se solucionó mediante una mejora en el manejo de la memoria.
ID CVE
CVE-2015-3779: Teddy Reed de Facebook Security
Bluetooth
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Una aplicación malintencionada podría determinar la distribución de la memoria del kernel
Descripción: Un problema de administración de la memoria podría haber provocado la divulgación de la distribución de la memoria del kernel. Para solucionar este problema, se mejoró la administración de la memoria.
ID CVE
CVE-2015-3780: Roberto Paleari y Aristide Fattori de Emaze Networks
Bluetooth
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Una app malintencionada podría acceder a las notificaciones de otros dispositivos de iCloud
Descripción: Existía un problema por el cual una app malintencionada podía acceder a las notificaciones del Centro de notificaciones de un dispositivo iOS o una Mac enlazados por Bluetooth mediante el Servicio del Centro de Notificaciones de Apple. Este problema afectaba a los dispositivos con Handoff conectados a la misma cuenta de iCloud. Para solucionar este problema, se revocó el acceso al Servicio del Centro de Notificaciones de Apple.
ID CVE
CVE-2015-3786: Xiaolong Bai (Tsinghua University), System Security Lab (Indiana University), Tongxin Li (Peking University), XiaoFeng Wang (Indiana University)
Bluetooth
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Un atacante con una posición de red privilegiada podría realizar un ataque de denegación de servicio mediante paquetes de Bluetooth con estructura incorrecta
Descripción: Existía un problema de validación de entradas en el análisis de paquetes ACL de Bluetooth. Para solucionar este problema, se mejoró la validación de entradas.
ID CVE
CVE-2015-3787: Trend Micro
Bluetooth
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Un atacante local podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existían varios problemas de desbordamiento de búfer en el procesamiento de mensajes XPC por parte de blued. Para solucionar estos problemas, se mejoró la comprobación de límites.
ID CVE
CVE-2015-3777: mitp0sh de [PDX]
bootp
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Una red Wi-Fi malintencionada podría ser capaz de determinar las redes a las que ha accedido previamente un dispositivo
Descripción: Al conectarse a una red Wi-Fi, iOS podía transmitir direcciones MAC de redes a las que se había accedido previamente mediante el protocolo DNAv4. Para solucionar este problema, se desactivó DNAv4 en las redes Wi-Fi no encriptadas.
ID CVE
CVE-2015-3778: Piers O'Hanlon de Oxford Internet Institute, University of Oxford (en el proyecto EPSRC Being There)
CloudKit
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Una aplicación malintencionada podría ser capaz de acceder al registro en iCloud de un usuario conectado anteriormente
Descripción: Existía una incoherencia de estado en CloudKit al cerrar la sesión de los usuarios. Para solucionar este problema, se mejoró el manejo de los estados.
ID CVE
CVE-2015-3782: Deepkanwal Plaha de University of Toronto
CoreMedia Playback
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existían problemas de daños en la memoria en CoreMedia Playback. Para solucionarlos, se mejoró el manejo de la memoria.
ID CVE
CVE-2015-5777: Apple
CVE-2015-5778: Apple
CoreText
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4
Impacto: Procesar un archivo de fuente creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos de fuente. Para solucionar este problema, se mejoró la validación de entradas.
ID CVE
CVE-2015-5761: John Villamil (@day6reak), Yahoo Pentest Team
CoreText
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Procesar un archivo de fuente creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos de fuente. Para solucionar este problema, se mejoró la validación de entradas.
ID CVE
CVE-2015-5755: John Villamil (@day6reak), Yahoo Pentest Team
curl
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Varias vulnerabilidades en cURL y libcurl antes de la versión 7.38.0, una de las cuales podía permitir que los atacantes remotos eludieran la política de mismo origen
Descripción: Existían varias vulnerabilidades en cURL y libcurl antes de la versión 7.38.0. Para solucionar estos problemas, se actualizó cURL a la versión 7.43.0.
ID CVE
CVE-2014-3613
CVE-2014-3620
CVE-2014-3707
CVE-2014-8150
CVE-2014-8151
CVE-2015-3143
CVE-2015-3144
CVE-2015-3145
CVE-2015-3148
CVE-2015-3153
Data Detectors Engine
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: El procesamiento de una secuencia de caracteres Unicode podría generar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existían problemas de daños en la memoria en el procesamiento de caracteres Unicode. Para solucionar estos problemas, se mejoró el manejo de la memoria.
ID CVE
CVE-2015-5750: M1x7e1 de Safeye Team (www.safeye.org)
Panel de preferencias Fecha y hora
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Las aplicaciones que se basan en la hora del sistema podrían presentar un comportamiento inesperado
Descripción: Existía un problema de autorización al modificar las preferencias del sistema para fecha y hora. Para resolver este problema, se agregaron otras comprobaciones de autorización.
ID CVE
CVE-2015-3757: Mark S C Smith
App Diccionario
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Un atacante con una posición de red privilegiada podría ser capaz de interceptar las consultas de los usuarios en la app Diccionario
Descripción: Existía un problema en la app Diccionario, por el cual no se protegían correctamente las comunicaciones de los usuarios. Para solucionar este problema, se trasladaron las consultas de Diccionario a HTTPS.
ID CVE
CVE-2015-3774: Jeffrey Paul de EEQJ, Jan Bee de Google Security Team
Imágenes de disco
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Procesar un archivo DMG creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario con privilegios del sistema
Descripción: Existía un problema de daños en la memoria en el análisis de imágenes DMG con estructura incorrecta. El problema se solucionó mediante una mejora en el manejo de la memoria.
ID CVE
CVE-2015-3800: Frank Graziano de Yahoo Pentest Team
dyld
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Un usuario local podría ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de validación de rutas en dyld. Para solucionar esto, se mejoró el saneamiento del entorno.
ID CVE
CVE-2015-3760: beist de grayhash, Stefan Esser
FontParser
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4
Impacto: Procesar un archivo de fuente creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos de fuente. Para solucionar este problema, se mejoró la validación de entradas.
ID CVE
CVE-2015-3804: Apple
CVE-2015-5775: Apple
FontParser
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4
Impacto: Procesar un archivo de fuente creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos de fuente. Para solucionar este problema, se mejoró la validación de entradas.
ID CVE
CVE-2015-5756: John Villamil (@day6reak), Yahoo Pentest Team
groff
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Varios problemas en pdfroff
Descripción: Existían varios problemas en pdfroff, el más grave de los cuales podía permitir la modificación arbitraria del sistema de archivos. Para solucionar estos problemas, se eliminó pdfroff.
ID CVE
CVE-2009-5044
CVE-2009-5078
ImageIO
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Procesar una imagen TIFF creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de daños en la memoria en el procesamiento de imágenes TIFF. Para solucionar este problema, se mejoró la comprobación de límites.
ID CVE
CVE-2015-5758: Apple
ImageIO
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Visitar un sitio web creado con fines malintencionados podría provocar la divulgación de la memoria de procesos
Descripción: Existía un problema de acceso a la memoria no inicializada en el procesamiento de imágenes PNG y TIFF por parte de ImageIO. Visitar un sitio web malintencionado podría provocar el envío de datos de la memoria de procesos al sitio web. Para solucionar este problema, se mejoró la inicialización de la memoria y se proporcionó validación adicional de imágenes PNG y TIFF.
ID CVE
CVE-2015-5781: Michal Zalewski
CVE-2015-5782: Michal Zalewski
Install Framework Legacy
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios de usuario root
Descripción: Existía un problema en la forma en que el binario runner de Install.framework reducía los privilegios. Para solucionar este problema, se mejoró la administración de privilegios.
ID CVE
CVE-2015-5784: Ian Beer de Google Project Zero
Install Framework Legacy
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema
Descripción: Existía una condición de carrera en el binario runner de Install.framework por la cual los privilegios se reducían de la forma incorrecta. Para solucionar este problema, se mejoró el bloqueo de objetos.
ID CVE
CVE-2015-5754: Ian Beer de Google Project Zero
IOFireWireFamily
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Un usuario local podría ejecutar código arbitrario con privilegios del sistema
Descripción: Existían problemas de daños en la memoria en IOFireWireFamily. Para solucionar estos problemas, se agregó otro tipo de validación de entradas.
ID CVE
CVE-2015-3769: Ilja van Sprundel
CVE-2015-3771: Ilja van Sprundel
CVE-2015-3772: Ilja van Sprundel
IOGraphics
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de daños en la memoria en IOGraphics. Para solucionar este problema, se agregó otro tipo de validación de entradas.
ID CVE
CVE-2015-3770: Ilja van Sprundel
CVE-2015-5783: Ilja van Sprundel
IOHIDFamily
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Un usuario local podría ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de desbordamiento de búfer en IOHIDFamily. El problema se solucionó mediante una mejora en el manejo de la memoria.
ID CVE
CVE-2015-5774: TaiG Jailbreak Team
Kernel
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Una aplicación malintencionada podría determinar la distribución de la memoria del kernel
Descripción: Existía un problema en la interfaz mach_port_space_info, que podría haber provocado la divulgación de la distribución de la memoria del kernel. Para solucionar esto, se desactivó la interfaz mach_port_space_info.
ID CVE
CVE-2015-3766: Cererdlong de Alibaba Mobile Security Team, @PanguTeam
Kernel
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un desbordamiento de enteros en la administración de funciones IOKit. Este problema se solucionó mediante una validación mejorada de los argumentos del API IOKit.
ID CVE
CVE-2015-3768: Ilja van Sprundel
Kernel
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Un usuario local podría ser capaz de provocar una denegación de servicio del sistema
Descripción: Existía un problema de agotamiento de recursos en el driver fasttrap. Para solucionar esto, se mejoró el manejo de la memoria.
ID CVE
CVE-2015-5747: Maxime VILLARD de m00nbsd
Kernel
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Un usuario local podría ser capaz de provocar una denegación de servicio del sistema
Descripción: Existía un problema de validación en el montaje de volúmenes HFS. Para solucionar esto, se agregaron más comprobaciones.
ID CVE
CVE-2015-5748: Maxime VILLARD de m00nbsd
Kernel
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Una aplicación malintencionada podría ejecutar código sin firma
Descripción: Existía un problema por el cual se podía agregar código sin firma a un código con firma en un archivo ejecutable diseñado especialmente. Para solucionar este problema, se mejoró la validación de firmas de código.
ID CVE
CVE-2015-3806: TaiG Jailbreak Team
Kernel
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Un archivo ejecutable diseñado especialmente podía permitir la ejecución de código malintencionado sin firma
Descripción: Existía un problema en la forma en que se evaluaban los archivos ejecutables con varias arquitecturas. Esto podía permitir la ejecución de código sin firma. Para solucionar este problema, se mejoró la validación de archivos ejecutables.
ID CVE
CVE-2015-3803: TaiG Jailbreak Team
Kernel
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Un usuario local podría ser capaz de ejecutar código sin firma
Descripción: Existía un problema de validación en el manejo de archivos Mach-O. Para solucionar esto, se agregaron más comprobaciones.
ID CVE
CVE-2015-3802: TaiG Jailbreak Team
CVE-2015-3805: TaiG Jailbreak Team
Kernel
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Analizar un archivo plist creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario con privilegios del sistema
Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos plist con estructura incorrecta. El problema se solucionó mediante una mejora en el manejo de la memoria.
ID CVE
CVE-2015-3776: Teddy Reed de Facebook Security, Patrick Stein (@jollyjinx) de Jinx Germany
Kernel
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Un usuario local podría ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de validación de rutas. Para solucionar esto, se mejoró el saneamiento del entorno.
ID CVE
CVE-2015-3761: Apple
Libc
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Procesar una expresión regular creada con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existían problemas de daños en la memoria en la biblioteca de TRE. Para solucionarlos, se mejoró el manejo de la memoria.
ID CVE
CVE-2015-3796: Ian Beer de Google Project Zero
CVE-2015-3797: Ian Beer de Google Project Zero
CVE-2015-3798: Ian Beer de Google Project Zero
Libinfo
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4
Impacto: Un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existían problemas de daños en la memoria en el manejo de los sockets AF_INET6. Para solucionar esto, se mejoró el manejo de la memoria.
ID CVE
CVE-2015-5776: Apple
libpthread
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema
Descripción: Existían problemas de daños en la memoria en el manejo de las llamadas del sistema. Para resolver este problema, se mejoró la comprobación del estado de bloqueo.
ID CVE
CVE-2015-5757: Lufeng Li de Qihoo 360
libxml2
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4
Impacto: Existían varias vulnerabilidades en las versiones de libxml2 anteriores a 2.9.2, la más grave de las cuales podía permitir que un atacante remoto generara una denegación de servicio
Descripción: Existían varias vulnerabilidades en las versiones de libxml2 anteriores a 2.9.2. Se solucionaron mediante la actualización de libxml2 a la versión 2.9.2.
ID CVE
CVE-2012-6685: Felix Groebert de Google
CVE-2014-0191: Felix Groebert de Google
libxml2
Disponible para: OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4
Impacto: Analizar un documento XML creado con fines malintencionados podría provocar la divulgación de información del usuario
Descripción: Existía un problema de acceso a la memoria en libxml2. Para solucionar esto, se mejoró el manejo de la memoria.
ID CVE
CVE-2014-3660: Felix Groebert de Google
libxml2
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4
Impacto: Analizar un documento XML creado con fines malintencionados podría provocar la divulgación de información del usuario
Descripción: Existía un problema de daños en la memoria en el análisis de archivos XML. El problema se solucionó mediante una mejora en el manejo de la memoria.
ID CVE
CVE-2015-3807: Apple
libxpc
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de daños en la memoria en el manejo de mensajes XPC con estructura incorrecta. Este problema se mejoró al optimizar la comprobación de límites.
ID CVE
CVE-2015-3795: Mathew Rowley
mail_cmds
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Un usuario local podría ejecutar comandos de shell arbitrarios
Descripción: Existía un problema de validación en el análisis de direcciones de correo electrónico con mailx. Para solucionar esto, se mejoró el saneamiento.
ID CVE
CVE-2014-7844
OSX para el centro de notificaciones
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Una aplicación malintencionada podría acceder a todas las notificaciones mostradas con anterioridad a los usuarios
Descripción: Existía un problema en el centro de notificaciones por el cual no se eliminaban correctamente las notificaciones para los usuarios. Para solucionar este problema, se eliminaron correctamente las notificaciones descartadas por los usuarios.
ID CVE
CVE-2015-3764: Jonathan Zdziarski
ntfs
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Un usuario local podría ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de daños en la memoria en NTFS. El problema se solucionó mediante una mejora en el manejo de la memoria.
ID CVE
CVE-2015-5763: Roberto Paleari y Aristide Fattori de Emaze Networks
OpenSSH
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Los atacantes remotos podrían eludir la demora para los intentos fallidos de inicio de sesión y realizar ataques de fuerza bruta
Descripción: Existía un problema en el procesamiento de dispositivos de interacción con el teclado. Para solucionar este problema, se mejoró la validación de solicitudes de autenticación.
ID CVE
CVE-2015-5600
OpenSSL
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4
Impacto: Existían varias vulnerabilidades en las versiones de OpenSSL anteriores a 0.9.8zg, la más grave de las cuales podía permitir que un atacante remoto generara una denegación de servicio
Descripción: Existían varias vulnerabilidades en las versiones de OpenSSL anteriores a 0.9.8zg. Para solucionar esto, se actualizó OpenSSL a la versión 0.9.8zg.
ID CVE
CVE-2015-1788
CVE-2015-1789
CVE-2015-1790
CVE-2015-1791
CVE-2015-1792
perl
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Analizar una expresión regular creada con fines malintencionados podría divulgar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de desbordamiento de enteros en la forma en que Perl analizaba las expresiones regulares. El problema se solucionó mediante una mejora en el manejo de la memoria.
ID CVE
CVE-2013-7422
PostgreSQL
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4
Impacto: Un atacante podría ser capaz de provocar el cierre inesperado de una aplicación o de obtener acceso a datos sin la autenticación adecuada
Descripción: Existían varios problemas en PostgreSQL 9.2.4. Para solucionarlos, se actualizó PostgreSQL a la versión 9.2.13.
ID CVE
CVE-2014-0067
CVE-2014-8161
CVE-2015-0241
CVE-2015-0242
CVE-2015-0243
CVE-2015-0244
python
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Existían varias vulnerabilidades en Python 2.7.6, la más grave de las cuales podía provocar la ejecución de código arbitrario
Descripción: Existían varias vulnerabilidades en las versiones de Python anteriores a 2.7.6. Se solucionaron mediante la actualización de Python a la versión 2.7.10.
ID CVE
CVE-2013-7040
CVE-2013-7338
CVE-2014-1912
CVE-2014-7185
CVE-2014-9365
QL Office
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4
Impacto: Analizar un documento de Office creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de daños en la memoria en el análisis de documentos de Office. El problema se solucionó mediante una mejora en el manejo de la memoria.
ID CVE
CVE-2015-5773: Apple
QL Office
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Analizar un archivo XML creado con fines malintencionados podría provocar la divulgación de información del usuario
Descripción: Existía un problema de referencia a una entidad externa en el análisis de archivos XML. Para solucionar este problema, se mejoró el análisis.
ID CVE
CVE-2015-3784: Bruno Morisson de INTEGRITY S.A.
Estructura de Quartz Composer
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4
Impacto: Analizar un archivo de QuickTime creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de daños en la memoria en el análisis de archivos de QuickTime. El problema se solucionó mediante una mejora en el manejo de la memoria.
ID CVE
CVE-2015-5771: Apple
Vista rápida
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: La búsqueda de un sitio web visitado previamente podría iniciar el navegador web y procesar ese sitio web
Descripción: Existía un problema por el cual QuickLook tenía la capacidad de ejecutar JavaScript. Para solucionar este problema, se desautorizó la ejecución de JavaScript.
ID CVE
CVE-2015-3781: Andrew Pouliot de Facebook, Anto Loyola de Qubole
QuickTime 7
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4
Impacto: Procesar un archivo creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existían varios problemas de daños en la memoria en QuickTime. Para solucionar estos problemas, se mejoró el manejo de la memoria.
ID CVE
CVE-2015-3772
CVE-2015-3779
CVE-2015-5753: Apple
CVE-2015-5779: Apple
QuickTime 7
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4
Impacto: Procesar un archivo creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existían varios problemas de daños en la memoria en QuickTime. Para solucionar estos problemas, se mejoró el manejo de la memoria.
ID CVE
CVE-2015-3765: Joe Burnett de Audio Poison
CVE-2015-3788: Ryan Pentney y Richard Johnson de Cisco Talos
CVE-2015-3789: Ryan Pentney y Richard Johnson de Cisco Talos
CVE-2015-3790: Ryan Pentney y Richard Johnson de Cisco Talos
CVE-2015-3791: Ryan Pentney y Richard Johnson de Cisco Talos
CVE-2015-3792: Ryan Pentney y Richard Johnson de Cisco Talos
CVE-2015-5751: WalkerFuz
SceneKit
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Visualizar un archivo de Collada creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: Existía un desbordamiento de búfer de pila en el manejo de los archivos de Collada por parte de SceneKit. Para solucionar este problema, se mejoró la validación de entradas.
ID CVE
CVE-2015-5772: Apple
SceneKit
Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite de v10.10 a v10.10.4
Impacto: Un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de daños en la memoria en SceneKit. El problema se solucionó mediante una mejora en el manejo de la memoria.
ID CVE
CVE-2015-3783: Haris Andrianakis de Google Security Team
Seguridad
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Un usuario estándar podría ser capaz de obtener acceso a privilegios de administrador sin la autenticación adecuada
Descripción: Existía un problema en el manejo de la autenticación de usuario. Para solucionar este problema, se mejoraron las comprobaciones de autenticación.
ID CVE
CVE-2015-3775: [Eldon Ahrold]
SMBClient
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de daños en la memoria en el cliente SMB. El problema se solucionó mediante una mejora en el manejo de la memoria.
ID CVE
CVE-2015-3773: Ilja van Sprundel
Interfaz de Voz
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Analizar una cadena Unicode creada con fines malintencionados con las alertas de voz activadas podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Existía un problema de daños en la memoria en el procesamiento de cadenas Unicode. Para solucionar este problema, se mejoró el manejo de la memoria.
ID CVE
CVE-2015-3794: Adam Greenbaum de Refinitive
sudo
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Existían varias vulnerabilidades en las versiones de sudo anteriores a 1.7.10p9, la más grave de las cuales podía permitir que un atacante obtuviera acceso a archivos arbitrarios
Descripción: Existían varias vulnerabilidades en las versiones de sudo anteriores a 1.7.10p9. Para solucionar esto, se actualizó sudo a la versión 1.7.10p9.
ID CVE
CVE-2013-1775
CVE-2013-1776
CVE-2013-2776
CVE-2013-2777
CVE-2014-0106
CVE-2014-9680
tcpdump
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Existían varias vulnerabilidades en tcpdump 4.7.3, la más grave de las cuales podía permitir que un atacante remoto generara una denegación de servicio
Descripción: Existían varias vulnerabilidades en las versiones de tcpdump anteriores a 4.7.3. Se solucionaron mediante la actualización de tcpdump a la versión 4.7.3.
ID CVE
CVE-2014-8767
CVE-2014-8769
CVE-2014-9140
Formatos de texto
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Analizar un archivo de texto creado con fines malintencionados podría provocar la divulgación de información del usuario
Descripción: Existía un problema de referencia a una entidad externa XML en el análisis de TextEdit. Para solucionar este problema, se mejoró el análisis.
ID CVE
CVE-2015-3762: Xiaoyong Wu de Evernote Security Team
udf
Disponible para: OS X Yosemite de v10.10 a v10.10.4
Impacto: Procesar un archivo DMG creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario con privilegios del sistema
Descripción: Existía un problema de daños en la memoria en el análisis de imágenes DMG con estructura incorrecta. El problema se solucionó mediante una mejora en el manejo de la memoria.
ID CVE
CVE-2015-3767: beist de grayhash
OS X Yosemite v10.10.5 incluye el contenido de seguridad de Safari 8.0.8.
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.