Acerca del contenido de seguridad de OS X El Capitan 10.11.2, la actualización de seguridad 2015-005 de Yosemite y la actualización de seguridad 2015-008 de Mavericks

Este documento describe el contenido de seguridad de OS X El Capitan 10.11.2, la actualización de seguridad 2015-005 de Yosemite y la actualización de seguridad 2015-008 de Mavericks.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

OS X El Capitan 10.11.2, actualización de seguridad 2015-005 de Yosemite y actualización de seguridad 2015-008 de Mavericks

  • apache_mod_php

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Diversas vulnerabilidades en PHP.

    Descripción: Existían diversas vulnerabilidades en las versiones PHP anteriores a 5.5.29, la más grave podría haber derivado en la ejecución remota del código. Se solucionaron al actualizar PHP a la versión 5.5.30.

    ID CVE

    CVE-2015-7803

    CVE-2015-7804

  • AppSandbox

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Una aplicación malintencionada podía mantener acceso a Contactos después de la revocación del acceso.

    Descripción: Existía un problema en el manejo de vínculos físicos por parte de la zona protegida. Para solucionar este problema, se mejoró la protección de la zona protegida de la aplicación.

    ID CVE

    CVE-2015-7001: Razvan Deaconescu y Mihai Bucicoiu de la Universidad Politécnica de Bucarest; Luke Deshotels y William Enck de la Universidad Estatal de Carolina del Norte; Lucas Vincenzo Davi y Ahmad-Reza Sadeghi de TU Darmstadt

  • Bluetooth

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de errores de memoria en la interfaz de Bluetooth HCI. Para solucionar este problema se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-7108: Ian Beer de Google Project Zero

  • CFNetwork HTTPProtocol

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Un atacante con posición de red privilegiada podría omitir HSTS.

    Descripción: Existía un problema de validación de entradas dentro del procesamiento URL. Este problema se solucionó mejorando la validación de URL.

    ID CVE

    CVE-2015-7094: Tsubasa Iinuma (@llamakko_cafe) de Gehirn Inc. y Muneaki Nishimura (nishimunea)

  • Compresión

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

    Descripción: Existía un problema de acceso a la memoria sin inicializar en zlib. Para solucionar este problema, se mejoró la inicialización de la memoria y se proporcionó validación adicional de secuencias zlib.

    ID CVE

    CVE-2015-7054: j00ru

  • Perfiles de configuración

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Un atacante local podría instalar un perfil de configuración sin privilegios de administrador.

    Descripción: Existía un problema al instalar perfiles de configuración. Para resolver este problema, se mejoraron las comprobaciones de autorización.

    ID CVE

    CVE-2015-7062: David Mulder de Dell Software

  • CoreGraphics

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 y v10.11.1.

    Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

    Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos de fuente. Este problema se solucionó mejorando la validación de entradas.

    ID CVE

    CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Team

  • CoreMedia Playback

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 y v10.11.1.

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

    Descripción: Existían varios problemas de daños en la memoria en el procesamiento de archivos de medios incorrectos. Estos problemas se solucionaron mejorando la administración de la memoria.

    ID CVE

    CVE-2015-7074: Apple

    CVE-2015-7075

  • Imágenes de disco

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del kernel.

    Descripción: Existía un problema de daños de memoria en el procesamiento de imágenes de disco. Para solucionar este problema se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-7110: Ian Beer de Google Project Zero

  • EFI

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de validación de ruta en el cargador de kernel. Para solucionar esto, se mejoró el saneamiento del entorno.

    ID CVE

    CVE-2015-7063: Apple

  • Marcador de archivos

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Un proceso en la zona protegida podría evitar las restricciones de la zona protegida.

    Descripción: Existía un problema de validación de ruta en los favoritos en el ámbito de la aplicación. Para solucionar esto, se mejoró el saneamiento del entorno.

    ID CVE

    CVE-2015-7071: Apple

  • Hipervisor

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de uso después de liberación en el manejo de los objetos VM. Este problema se solucionó mejorando la administración de la memoria.

    ID CVE

    CVE-2015-7078: Ian Beer de Google Project Zero

  • iBooks

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Analizar un archivo de iBooks creado con fines malintencionados puede derivar en la divulgación de información del usuario.

    Descripción: Existía un problema de referencia de entidad externa XML en el análisis de iBook. Este problema se solucionó mejorando el análisis.

    ID CVE

    CVE-2015-7081: Behrouz Sadeghipour (@Nahamsec) y Patrik Fehrenbach (@ITSecurityguard)

  • ImageIO

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 y v10.11.1.

    Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar la ejecución de código arbitrario.

    Descripción: Existía un problema de corrupción de la memoria en ImageIO. Para solucionar este problema se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-7053: Apple

  • Controlador de gráficos Intel

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: La falta de referencia de puntero nulo se solucionó a través de la validación de entrada mejorada.

    ID CVE

    CVE-2015-7076: Juwei Lin de TrendMicro, beist y ABH de BoB, y JeongHoon Shin@A.D.D

  • Controlador de gráficos Intel

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de daños en la memoria en el driver de gráficos Intel. Para solucionar este problema se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-7106: Ian Beer de Google Project Zero, Juwei Lin de TrendMicro, beist y ABH de BoB, y JeongHoon Shin@A.D.D

  • Controlador de gráficos Intel

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de acceso a la memoria infranqueable en el driver de gráficos Intel. Para solucionar este problema se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-7077: Ian Beer de Google Project Zero

  • IOAcceleratorFamily

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de daños de memoria en IOAcceleratorFamily. Para solucionar este problema se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-7109: Juwei Lin de TrendMicro

  • IOHIDFamily

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existían varios problemas de daños en la memoria en la API IOHIDFamily. Estos problemas se solucionaron mejorando la administración de la memoria.

    ID CVE

    CVE-2015-7111: beist y ABH de BoB

    CVE-2015-7112: Ian Beer de Google Project Zero

  • IOKit SCSI

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Una aplicación maliciosa podía ejecutar código arbitrario con privilegios del kernel.

    Descripción: Existía una falta de referencia de puntero nulo en el manejo de cierto tipo de userclient. Este problema se solucionó mejorando la validación.

    ID CVE

    CVE-2015-7068: Ian Beer de Google Project Zero

  • IOThunderboltFamily

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Un usuario local podía provocar una denegación de servicio del sistema.

    Descripción: Existía un problema de falta de referencia de puntero nulo en el manejo de ciertos tipos de clientes de usuario por parte de IOThunderboltFamily. Para solucionar este problema, se mejoró la validación de los contextos de IOThunderboltFamily.

    ID CVE

    CVE-2015-7067: Juwei Lin de TrendMicro

  • Kernel

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Una aplicación local podía provocar una denegación de servicio.

    Descripción: Para solucionar estos múltiples problemas de denegación del servicio, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-7040: Lufeng Li de Qihoo 360 Vulcan Team

    CVE-2015-7041: Lufeng Li de Qihoo 360 Vulcan Team

    CVE-2015-7042: Lufeng Li de Qihoo 360 Vulcan Team

    CVE-2015-7043: Tarjei Mandt (@kernelpool)

  • Kernel

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del kernel.

    Descripción: Existían varios problemas de errores de memoria en el kernel. Estos problemas se solucionaron mejorando la administración de la memoria.

    ID CVE

    CVE-2015-7083: Ian Beer de Google Project Zero

    CVE-2015-7084: Ian Beer de Google Project Zero

  • Kernel

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del kernel.

    Descripción: Existía un problema en el análisis de mensajes Mach. Este problema se solucionó mediante la mejora de la validación de mensajes Mach.

    ID CVE

    CVE-2015-7047: Ian Beer de Google Project Zero

  • herramientas kext

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del kernel.

    Descripción: Existía un problema de validación durante la carga de extensiones kernel. Este problema se solucionó mediante verificaciones adicionales.

    ID CVE

    CVE-2015-7052: Apple

  • Acceso a llaveros

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Una aplicación maliciosa podría hacerse pasar por el servidor de llaveros.

    Descripción: Existía un problema en cómo interaccionaba el acceso de llaveros con el agente de llaveros. Este problema se resolvió al eliminar la funcionalidad heredada.

    ID CVE

    CVE-2015-7045: Luyi Xing y XiaoFeng Wang de Indiana University Bloomington, Xiaolong Bai de Indiana University Bloomington y Tsinghua University, Tongxin Li de Peking University, Kai Chen de Indiana University Bloomington y de Institute of Information Engineering, Xiaojing Liao de Georgia Institute of Technology, Shi-Min Hu de Tsinghua University, y Xinhui Han de Peking University

  • libarchive

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 y v10.11.1.

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

    Descripción: Existía un problema de errores de memoria en la administración de archivos. Para solucionar este problema se mejoró el manejo de la memoria.

    ID CVE

    CVE-2011-2895: @practicalswift

  • libc

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Procesar un paquete creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

    Descripción: Existían múltiples desbordamientos de búfer en la biblioteca estándar C. Estos problemas se solucionaron mejorando la comprobación de límites.

    ID CVE

    CVE-2015-7038: Brian D. Wells de E. W. Scripps, Narayan Subramanian of Symantec Corporation/Veritas LLC

    • CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)

      Entrada actualizada el 3 de marzo de 2017

  • libexpat

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Diversas vulnerabilidades en expat.

    Descripción: Existían varias vulnerabilidades en las versiones de expat anteriores a 2.1.0. Se solucionaron mediante la actualización de expat a la versión 2.1.0.

    ID CVE

    CVE-2012-0876: Vincent Danen

    CVE-2012-1147: Kurt Seifried

    CVE-2012-1148: Kurt Seifried

  • libxml2

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 y v10.11.1.

    Impacto: El análisis de un documento XML creado con fines malintencionados podía provocar la divulgación de información del usuario.

    Descripción: Existía un problema de daños en la memoria en el análisis de archivos XML. Para solucionar este problema se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-7115: Wei Lei y Liu Yang de la Universidad Tecnológica de Nanyang

    CVE-2015-7116: Wei Lei y Liu Yang de la Universidad Tecnológica de Nanyang

  • OpenGL

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 y v10.11.1.

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

    Descripción: Existían varios problemas de daños en la memoria en OpenGL. Estos problemas se solucionaron mejorando la administración de la memoria.

    ID CVE

    CVE-2015-7064: Apple

    CVE-2015-7065: Apple

    CVE-2015-7066: Tongbo Luo y Bo Qu de Palo Alto Networks

  • OpenLDAP

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Un cliente remoto no autenticado podría provocar una denegación de servicio.

    Descripción: Existía un problema de validación de entradas en OpenLDAP. Este problema se solucionó mejorando la validación de entradas.

    ID CVE

    CVE-2015-6908

  • OpenSSH

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Diversas vulnerabilidades en LibreSSL.

    Descripción: Existían varias vulnerabilidades en las versiones de LibreSSL anteriores a 2.1.8. Se solucionaron mediante la actualización de LibreSSL a la versión 2.1.8.

    ID CVE

    CVE-2015-5333

    CVE-2015-5334

  • QuickLook

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 y v10.11.1.

    Impacto: Abrir un archivo iWork creado con fines malintencionados podría provocar la ejecución de código arbitrario.

    Descripción: Existía un problema de daños en la memoria en el manejo de archivos iWork. Para solucionar este problema se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-7107

  • Sandbox

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Una aplicación malintencionada con privilegios de raíz podía desviar la distribución aleatoria del espacio de direcciones de kernel.

    Descripción: Existía un problema de separación de privilegios insuficiente en xnu. Este problema se resolvió al mejorar la comprobación de autorizaciones.

    ID CVE

    CVE-2015-7046: Apple

  • Seguridad

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Un atacante remoto podía ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: Existía un problema de errores de memoria en el manejo de protocolos de enlace SSL. Para solucionar este problema se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-7073: Benoit Foucher de ZeroC, Inc.

  • Seguridad

    Disponible para: OS X Mavericks v10.9.5 y OS X Yosemite v10.10.5.

    Impacto: Procesar un certificado creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

    Descripción: Existían varios problemas de daños en la memoria en el decodificador ASN.1. Estos problemas se solucionaron mejorando la validación de entradas.

    ID CVE

    CVE-2015-7059: David Keeler de Mozilla

    CVE-2015-7060: Tyson Smith de Mozilla

    CVE-2015-7061: Ryan Sleevi de Google

  • Seguridad

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11 y v10.11.1.

    Impacto: Una aplicación malintencionada podría obtener acceso a elementos del llavero de un usuario.

    Descripción: Existía un problema en la validación de listas de control de acceso para elementos del llavero. Este problema se solucionó mejorando las verificaciones de las listas de control de acceso.

    ID CVE

    CVE-2015-7058

  • Protección de integridad del sistema

    Disponible para: OS X El Capitan v10.11 y v10.11.1.

    Impacto: Una aplicación malintencionada con privilegios de root podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de privilegios en el manejo de montaje de asociación. Este problema se resolvió al mejorar la comprobación de autorizaciones.

    ID CVE

    CVE-2015-7044: MacDefender

Notas

  • La actualización de seguridad 2015-005 y 2015-008 se recomienda para todos los usuarios y mejora la seguridad de OS X. Después de instalar esta actualización, el complemento del explorador web de QuickTime 7 ya no estará activado de manera predeterminada. Obtén información sobre qué hacer si igualmente necesitas este complemento heredado.

  • OS X El Capitan v10.11.2 incluye el contenido de seguridad de Safari 9.0.2.

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: