Acerca del contenido de seguridad de OS X Mountain Lion v10.8.5 y la Actualización de seguridad 2013-004

Este documento describe el contenido de seguridad de OS X Mountain Lion v10.8.5 y la Actualización de seguridad 2013-004.

Ambas actualizaciones pueden descargarse e instalarse mediante las preferencias de Actualización de software o desde Descargas de Apple.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos Apple, visita "Cómo usar la clave PGP de seguridad de los productos Apple".

Siempre que sea posible, se usan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.

Para obtener información acerca de las actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple". 

OS X Mountain Lion v10.8.5 y Actualización de seguridad 2013-004

  • Apache

    Disponible para Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Varias vulnerabilidades en Apache.

    Descripción: Existían varias vulnerabilidades en Apache; la más importante podía permitir la ejecución de ataques de secuencias de comandos entre sitios. Estos problemas se solucionaron actualizando Apache a la versión 2.2.24.

    ID CVE

    CVE-2012-0883

    CVE-2012-2687

    CVE-2012-3499

    CVE-2012-4558

  • Bind

    Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Varias vulnerabilidades en BIND.

    Descripción: Existían varias vulnerabilidades en BIND; la más importante podía provocar una denegación del servicio. Estos problemas se solucionan actualizando BIND a la versión 9.8.5-P1. CVE-2012-5688 no afectó a los equipos Mac OS X v10.7.

    ID CVE

    CVE-2012-3817

    CVE-2012-4244

    CVE-2012-5166

    CVE-2012-5688

    CVE-2013-2266

  • Política de confianza en certificados

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Los certificados raíz se han actualizado.

    Descripción: Se agregaron varios certificados a la lista de certificados raíz del sistema o se eliminaron de ella. La lista completa de certificados raíz reconocidos puede verse mediante la aplicación Acceso a Llaveros.

  • ClamAV

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5 y OS X Lion Server v10.7.5

    Impacto: Varias vulnerabilidades en ClamAV.

    Descripción: Existían varias vulnerabilidades en ClamAV; la más grave podía provocar la ejecución de código arbitrario. Esta actualización soluciona los problemas actualizando ClamAV a la versión 0.97.8.

    ID CVE

    CVE-2013-2020

    CVE-2013-2021

  • CoreGraphics

    Disponible para OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Visualizar un archivo PDF creado con fines malintencionados podía provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.

    Descripción: Existía un problema de desbordamiento de búfer en la administración de datos con codificación JBIG2 en archivos PDF. Este problema se solucionó mediante comprobaciones de límites adicionales.

    ID CVE

    CVE-2013-1025: Felix Groebert, del equipo de seguridad de Google

  • ImageIO

    Disponible para OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Visualizar un archivo PDF creado con fines malintencionados podía provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.

    Descripción: Existía un problema de desbordamiento de búfer en la gestión de datos con codificación JPEG2000 en archivos PDF. Este problema se solucionó mediante comprobaciones de límites adicionales.

    ID CVE

    CVE-2013-1026: Felix Groebert, del equipo de seguridad de Google

  • Installer

    Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Los paquetes podían abrirse tras la revocación de un certificado.

    Descripción: Cuando Installer encontraba un certificado revocado, mostraba un cuadro de diálogo con la opción de continuar. El problema se solucionó eliminando el cuadro de diálogo y rechazando todo paquete revocado.

    ID CVE

    CVE-2013-1027

  • IPSec

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Un atacante podría interceptar datos protegidos mediante IPSec Hybrid Auth.

    Descripción: El nombre DNS de un servidor IPSec Hybrid Auth no se comparaba con el certificado, permitiendo que un atacante con un certificado de cualquier servidor lo hiciera pasar por cualquier otro. Este problema se solucionó comprobando debidamente el certificado.

    ID CVE

    CVE-2013-1028: Alexander Traud, de www.traud.de

  • Kernel

    Disponible para OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Un usuario de red local podría provocar una denegación de servicio

    Descripción: Una comprobación incorrecta en el código de análisis de paquetes IGMP en el kernel permitía que un usuario capaz de enviar paquetes IGMP provocase un fallo de kernel. Este problema se solucionó eliminando la comprobación.

    ID CVE

    CVE-2013-1029: Christopher Bohn, de PROTECTSTAR INC.

  • Administración de dispositivos móviles

    Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Las contraseñas podrían divulgarse a otros usuarios locales.

    Descripción: Una contraseña se pasaba desde la línea de comandos a mdmclient, lo cual la hacía visible para otros usuarios en el mismo equipo. El problema se solucionó comunicando la contraseña a través de un canal.

    ID CVE

    CVE-2013-1030: Per Olofsson, de la Universidad de Gotemburgo

  • OpenSSL

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Varias vulnerabilidades en OpenSSL.

    Descripción: Existían varias vulnerabilidades en OpenSSL; la más grave podía provocar la divulgación de datos de los usuarios. Estos problemas se solucionaron actualizando OpenSSL a la versión 0.9.8y.

    ID CVE

    CVE-2012-2686

    CVE-2013-0166

    CVE-2013-0169

  • PHP

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Varias vulnerabilidades en PHP.

    Descripción: Existían varias vulnerabilidades en PHP; la más grave podía provocar la ejecución de código arbitrario. Estos problemas se solucionaron actualizando PHP a la versión 5.3.26.

    ID CVE

    CVE-2013-1635

    CVE-2013-1643

    CVE-2013-1824

    CVE-2013-2110

  • PostgreSQL

    Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Varias vulnerabilidades en PostgreSQL.

    Descripción: Existían varias vulnerabilidades en PostgreSQL; la más grave podía provocar daños en los datos o elevación de privilegios. CVE-2013-1901 no afecta a los sistemas OS X Lion. Esta actualización soluciona los problemas actualizando PostgreSQL a la versión 9.1.9 en sistemas OS X Mountain Lion y a la versión 9.0.4 en sistemas OS X Lion.

    ID CVE

    CVE-2013-1899

    CVE-2013-1900

    CVE-2013-1901

  • Administración de energía

    Disponible para OS X Mountain Lion v10.8 a v10.8.4

    Impacto: El protector de pantalla podría no iniciarse tras el período de tiempo especificado.

    Descripción: Existía un problema de bloqueo de aserción de energía. Este problema se solucionó mejorando la administración de bloqueos.

    ID CVE

    CVE-2013-1031

  • QuickTime

    Disponible para Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Visualizar un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.

    Descripción: Existía un problema de daños en la memoria en la administración de átomos "idsc" en los archivos de película QuickTime. Este problema se solucionó mediante comprobaciones de límites adicionales.

    ID CVE

    CVE-2013-1032: Jason Kratzer en colaboración con iDefense VCP

  • Bloqueo de pantalla

    Disponible para OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Un usuario con acceso a compartir pantalla podía ser capaz de saltarse el bloqueo de pantalla cuando otro usuario había iniciado sesión.

    Descripción: Existía un problema de administración de sesiones en la gestión de sesiones de compartir pantalla por parte del bloqueo de pantalla. Este problema se solucionó mediante el seguimiento mejorado de las sesiones.

    ID CVE

    CVE-2013-1033: Jeff Grisso, de Atos IT Solutions, Sébastien Stormacq

  • sudo

    Disponible para OS X Lion v10.7.5, OS X Lion Server v10.7.5 y OS X Mountain Lion v10.8 a v10.8.4

    Impacto: Un atacante con control de una cuenta de usuario administrador podría ser capaz de conseguir privilegios de root sin conocer la contraseña del usuario.

    Descripción: Ajustando el reloj del sistema, un atacante podría usar sudo para obtener privilegios de root en equipos en los que sudo se haya usado antes. En OS X, solo los usuarios administradores pueden modificar el reloj del sistema. Este problema se solucionó comprobando si existe una marca temporal no válida.

    ID CVE

    CVE-2013-1775

 

  • Nota: OS X Mountain Lion v10.8.5 también soluciona un problema por el cual determinadas cadenas Unicode podían provocar el cierre inesperado de aplicaciones.

 

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: