Acerca del contenido de seguridad de OS X Mountain Lion v10.8.3 y la actualización de seguridad 2013-001

En este documento, se describe el contenido de seguridad de OS X Mountain Lion v10.8.3 y la actualización de seguridad 2013-001.

OS X Mountain Lion v10.8.3 y la actualización de seguridad 2013-001 se pueden descargar e instalar por medio de las preferencias de Actualización de Software o desde Descargas de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web sobre seguridad de los productos Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos Apple, visita "Cómo usar la clave PGP de seguridad de los productos Apple".

Siempre que sea posible, se usan ID de CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.

Para obtener información acerca de las actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

Nota: OS X Mountain Lion v10.8.3 incluye el contenido de Safari 6.0.3. Para obtener más información, consulta Acerca del contenido de seguridad de Safari 6.0.3.

OS X Mountain Lion v10.8.3 y la actualización de seguridad 2013-001

  • Apache

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion de v10.7 a v10.7.5, OS X Lion Server de v10.7 a v10.7.5 y OS X Mountain Lion de v10.8 a v10.8.2

    Impacto: un atacante podía acceder a los directorios protegidos con autenticación HTTP sin conocer las credenciales correctas.

    Descripción: Existía un problema de canonización en el manejo de URI con secuencias de caracteres Unicode que se pueden omitir. Para solucionar este problema, se actualizó mod_hfs_apple para prohibir el acceso a URI con secuencias de caracteres Unicode que se pueden omitir.

    ID CVE

    CVE-2013-0966: Clint Ruoho de Laconic Security

  • CoreTypes

    Disponible para OS X Lion de v10.7 a v10.7.5, OS X Lion Server de v10.7 a v10.7.5 y OS X Mountain Lion de v10.8 a v10.8.2

    Impacto: Visitar un sitio web creado con fines malintencionados podía permitir que una aplicación Java Web Start se inicie automáticamente aunque el módulo Java esté desactivado.

    Descripción: Las aplicaciones Java Web Start se ejecutaban aunque el módulo Java se encontrara desactivado. Para solucionar este problema, se eliminaron los archivos JNLP de la lista de tipos de archivos seguros CoreTypes, de modo que la aplicación Web Start no se ejecute a menos que el usuario la abra en el directorio Descargas.

    ID CVE

    CVE-2013-0967

  • Componentes internacionales para Unicode

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion de v10.7 a v10.7.5, OS X Lion Server de v10.7 a v10.7.5 y OS X Mountain Lion de v10.8 a v10.8.2

    Impacto: Visitar un sitio web creado con fines malintencionados podía derivar en un ataque de scripts entre sitios.

    Descripción: Existía un problema de canonización en el manejo de la codificación EUC-JP por el cual se podía desencadenar un ataque de scripts entre sitios en sitios web con codificación EUC-JP. Este problema se solucionó actualizando la tabla de asignación EUC-JP.

    ID CVE

    CVE-2011-3058: Masato Kinugawa

  • Servicios de identidad

    Disponible para OS X Lion de v10.7 a v10.7.5, OS X Lion Server de v10.7 a v10.7.5 y OS X Mountain Lion de v10.8 a v10.8.2

    Impacto: Se podía omitir la autenticación de Apple ID basada en certificados.

    Descripción: Existía un problema en el manejo de errores en los servicios de identidad. Si no se podía validar el certificado de la Apple ID del usuario, se presuponía que la Apple ID de ese usuario era una cadena vacía. Si varios sistemas pertenecientes a distintos usuarios entraban en este estado, las aplicaciones en las que se usaba este método para determinar la identidad podían extender su confianza erróneamente. Para solucionar este problema, se procuró que se devuelva NULL en lugar de una cadena vacía.

    ID CVE

    CVE-2013-0963

  • ImageIO

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion de v10.7 a v10.7.5, OS X Lion Server de v10.7 a v10.7.5 y OS X Mountain Lion de v10.8 a v10.8.2

    Impacto: Ver un archivo TIFF creado con fines malintencionados podía ocasionar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario.

    Descripción: Existía un desbordamiento de búfer en el manejo de imágenes TIFF por parte de libtiff. Este problema se solucionó mediante una validación adicional de las imágenes TIFF.

    ID CVE

    CVE-2012-2088

  • IOAcceleratorFamily

    Disponible para OS X Mountain Lion de v10.8 a v10.8.2

    Impacto: Ver una imagen creada con fines malintencionados podría ocasionar la finalización inesperada de un sistema o la ejecución de código arbitrario.

    Descripción: Existía un problema de daños en la memoria en el procesamiento de datos de gráficos. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2013-0976: Un investigador anónimo

  • Kernel

    Disponible para OS X Mountain Lion de v10.8 a v10.8.2

    Impacto: Las aplicaciones diseñadas o comprometidas con fines malintencionados podían determinar las direcciones en el kernel.

    Descripción: Existía un problema de divulgación de información en el manejo de las API relacionadas con las extensiones de kernel. Las respuestas que contenían una clave OSBundleMachOHeaders podían haber incluido direcciones de kernel, las cuales podían ayudar a omitir la protección por selección aleatoria del diseño de espacio de direcciones. Este problema se solucionó desligando las direcciones antes de devolverlas.

    ID CVE

    CVE-2012-3749: Mark Dowd de Azimuth Security, Eric Monti de Square y otros investigadores anónimos

  • Ventana de inicio de sesión

    Disponible para OS X Mountain Lion de v10.8 a v10.8.2

    Impacto: Un atacante con acceso al teclado podía modificar la configuración del sistema.

    Descripción: Existía un error lógico en el manejo de VoiceOver en la ventana de inicio de sesión debido al cual un atacante con acceso al teclado podía ejecutar Preferencias del Sistema y modificar la configuración del sistema. Este problema se solucionó impidiendo que VoiceOver ejecute aplicaciones en la ventana de inicio de sesión.

    ID CVE

    CVE-2013-0969: Eric A. Schulman de Purpletree Labs

  • Mensajes

    Disponible para OS X Mountain Lion de v10.8 a v10.8.2

    Impacto: Hacer clic en un enlace de Mensajes podía iniciar una llamada FaceTime sin pedir confirmación.

    Descripción: Al hacer clic en una URL de FaceTime con un formato concreto en Mensajes, se podía omitir el cuadro de diálogo de confirmación estándar. Para solucionar este problema, se agregó una validación para las URL de FaceTime.

    ID CVE

    CVE-2013-0970: Aaron Sigel de vtty.com

  • Servidor de Mensajes

    Disponible para Mac OS X Server 10.6.8 y OS X Lion Server de v10.7 a v10.7.5

    Impacto: Un atacante remoto podría redirigir mensajes federados de Jabber.

    Descripción: Existía un problema en el manejo de mensajes de resultados de marcado desde el servidor Jabber. Un atacante podía provocar que el servidor Jabber revelara información destinada a usuarios de servidores federados. Este problema se solucionó mejorando el manejo de los mensajes de resultados de marcado.

    ID CVE

    CVE-2012-3525

  • PDFKit

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion de v10.7 a v10.7.5, OS X Lion Server de v10.7 a v10.7.5 y OS X Mountain Lion de v10.8 a v10.8.2

    Impacto: La visualización de un archivo PDF creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: Existía un problema de uso después de liberación en la gestión de anotaciones con tinta en archivos PDF. Este problema se solucionó mejorando la administración de la memoria.

    ID CVE

    CVE-2013-0971: Tobias Klein en colaboración con Zero Day Initiative de TippingPoint

  • Podcast Producer Server

    Disponible para Mac OS X Server 10.6.8 y OS X Lion Server de v10.7 a v10.7.5

    Impacto: Un atacante remoto podía provocar la ejecución de código arbitrario.

    Descripción: Existía un problema de "type casting" en la gestión de parámetros XML por parte de Ruby on Rails. Este problema se solucionó desactivando los parámetros XML en la implementación de Rails usada por Podcast Producer Server.

    ID CVE

    CVE-2013-0156

  • Podcast Producer Server

    Disponible para OS X Lion Server de v10.7 a v10.7.5

    Impacto: Un atacante remoto podía provocar la ejecución de código arbitrario.

    Descripción: Existía un problema de "type casting" en la gestión de datos JSON por parte de Ruby on Rails. Para solucionar este problema, se pasó a usar el sistema back-end JSONGem para el análisis de JSON en la implementación de Rails usada por Podcast Producer Server.

    ID CVE

    CVE-2013-0333

  • PostgreSQL

    Disponible para Mac OS X Server 10.6.8 y OS X Lion Server de v10.7 a v10.7.5

    Impacto: Existían varias vulnerabilidades en PostgreSQL.

    Descripción: PostgreSQL se actualizó a la versión 9.1.5 para solucionar múltiples vulnerabilidades, la más grave de las cuales podía permitir a los usuarios de bases de datos leer archivos del sistema de archivos con los privilegios de la cuenta de función de servidor de base de datos. En el sitio web de PostgreSQL se ofrece más información: http://www.postgresql.org/docs/9.1/static/release-9-1-5.html

    ID CVE

    CVE-2012-3488

    CVE-2012-3489

  • Administrador de perfiles

    Disponible para OS X Lion Server de v10.7 a v10.7.5

    Impacto: Un atacante remoto podía provocar la ejecución de código arbitrario.

    Descripción: Existía un problema de "type casting" en la gestión de parámetros XML por parte de Ruby on Rails. Este problema se solucionó desactivando los parámetros XML en la implementación de Rails usada por el Administrador de perfiles.

    ID CVE

    CVE-2013-0156

  • QuickTime

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion de v10.7 a v10.7.5, OS X Lion Server de v10.7 a v10.7.5 y OS X Mountain Lion de v10.8 a v10.8.2

    Impacto: La visualización de un archivo de película creado con fines malintencionados podía provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: Existía un desbordamiento de búfer en el manejo de cuadros "rnet" en los archivos MP4. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2012-3756: Kevin Szkudlapski de QuarksLab

  • Ruby

    Disponible para Mac OS X Server 10.6.8

    Impacto: Un atacante remoto podía ser capaz de provocar la ejecución de código arbitrario si había una app Rails en ejecución.

    Descripción: Existía un problema de "type casting" en la gestión de parámetros XML por parte de Ruby on Rails. Este problema se solucionó desactivando YAML y los símbolos en parámetros XML de Rails.

    ID CVE

    CVE-2013-0156

  • Seguridad

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion de v10.7 a v10.7.5, OS X Lion Server de v10.7 a v10.7.5 y OS X Mountain Lion de v10.8 a v10.8.2

    Impacto: Un atacante con una posición de red privilegiada podía interceptar las credenciales de usuario u otra información confidencial.

    Descripción: TURKTRUST emitía erróneamente varios certificados CA intermedios. Esto podía permitir que un atacante intermediario redirigiera las conexiones e interceptara las credenciales del usuario u otra información confidencial. Para solucionar este problema, no se permiten los certificados SSL incorrectos.

  • Actualización de software

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion de v10.7 a v10.7.5 y OS X Lion Server de v10.7 a v10.7.5

    Impacto: Un atacante con una posición de red privilegiada podía ser capaz de provocar la ejecución de código arbitrario.

    Descripción: Actualización de Software permitía a un atacante intermediario insertar contenido de módulos en el texto de marketing mostrado para las actualizaciones. Esto podía permitir que se aprovechara un módulo vulnerable o facilitar ataques de ingeniería social mediante módulos. Este problema no afecta a los sistemas OS X Mountain Lion. Este problema se solucionó impidiendo que se carguen módulos en el texto de marketing WebView de Actualización de Software.

    ID CVE

    CVE-2013-0973: Emilio Escobar

  • Wiki Server

    Disponible para OS X Lion Server de v10.7 a v10.7.5

    Impacto: Un atacante remoto podía provocar la ejecución de código arbitrario.

    Descripción: Existía un problema de "type casting" en la gestión de parámetros XML por parte de Ruby on Rails. Este problema se solucionó desactivando los parámetros XML en la implementación de Rails usada por Wiki Server.

    ID CVE

    CVE-2013-0156

  • Wiki Server

    Disponible para OS X Lion Server de v10.7 a v10.7.5

    Impacto: Un atacante remoto podía provocar la ejecución de código arbitrario.

    Descripción: Existía un problema de "type casting" en la gestión de datos JSON por parte de Ruby on Rails. Para solucionar este problema, se pasó a usar el sistema back-end JSONGem para el análisis de JSON en la implementación de Rails usada por Wiki Server.

    ID CVE

    CVE-2013-0333

  • Eliminación de software malicioso

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion de v10.7 a v10.7.5, OS X Lion Server de v10.7 a v10.7.5 y OS X Mountain Lion de v10.8 a v10.8.2

    Descripción: Esta actualización ejecuta una herramienta de eliminación de software malicioso que elimina las variantes más comunes de software malicioso. Si se encuentra software malicioso, se muestra un cuadro de diálogo para informar al usuario que se eliminó el software malicioso. No se le indica nada al usuario en el caso de que no se encuentre software malicioso.

 

FaceTime no está disponible en todos los países o regiones.

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: