Acerca del contenido de seguridad de macOS Sierra 10.12.1 y las actualizaciones de seguridad 2016-002 de El Capitan y 2016-006 de Yosemite

En este documento se detalla el contenido de seguridad de macOS Sierra 10.12.1 y las actualizaciones de seguridad 2016-002 de El Capitan y 2016-006 de Yosemite.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.

Para obtener más información acerca de la seguridad, consulta el sitio web sobre seguridad de los productos Apple. Puedes encriptar las comunicaciones con Apple mediante la clave PGP de seguridad de los productos de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

macOS Sierra 10.12.1 y actualizaciones de seguridad 2016-002 de El Capitan y 2016-006 de Yosemite

Fecha de publicación: 24 de octubre de 2016

AppleGraphicsControl

Disponible para OS X Yosemite v10.10.5 y OS X El Capitan v10.11.6

Impacto: Una aplicación podría ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando la comprobación del estado de bloqueo.

CVE-2016-4662: Apple

AppleMobileFileIntegrity

Disponible para macOS Sierra 10.12

Impacto: Un ejecutable firmado podía sustituir código con la misma ID de equipo.

Descripción: Existía un problema de validación en el manejo de firmas de código. Este problema se solucionó mediante validaciones adicionales.

CVE-2016-7584: Mark Mentovai y Boris Vidolov de Google Inc.

Entrada agregada el 27 de noviembre de 2016

AppleSMC

Disponible para macOS Sierra 10.12

Impacto: Un usuario local podía aumentar los privilegios.

Descripción: Se solucionó el problema de falta de referencia de puntero nulo mejorando el bloqueo.

CVE-2016-4678: daybreaker@Minionz en colaboración con la iniciativa Zero Day de Trend Micro

ATS

Disponible para macOS Sierra 10.12

Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podría ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2016-4667: Simon Huang de alipay, Thelongestusernameofall@gmail.com, Moony Li de TrendMicro, @Flyic

Entrada actualizada el 27 de octubre de 2016

ATS

Disponible para macOS Sierra 10.12

Impacto: Un usuario local podía ejecutar código arbitrario con privilegios adicionales.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2016-4674: Shrek_wzw de Qihoo 360 Nirvan Team

Proxies de CFNetwork

Disponible para macOS Sierra 10.12

Impacto: Un atacante con una posición de red privilegiada podía divulgar información confidencial del usuario.

Descripción: Existía un problema de phishing en el manejo de las credenciales de proxy. Para solucionar este problema, se quitaron las autenticaciones de contraseña de proxy no solicitadas.

CVE-2016-7579: Jerry Decime

Core Image

Disponible para OS X El Capitan v10.11.6

Impacto: La visualización de un archivo JPEG creado con fines malintencionados podría ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daño en la memoria mejorando la validación de entradas.

CVE-2016-4681: Ke Liu de Tencent's Xuanwu Lab

Entrada agregada el 25 de octubre de 2016

CoreGraphics

Disponible para macOS Sierra 10.12

Impacto: La visualización de un archivo JPEG creado con fines malintencionados podría ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2016-4673: Marco Grassi (@marcograss) de KeenLab (@keen_lab), Tencent

FaceTime

Disponible para macOS Sierra 10.12

Impacto: Un atacante con una posición de red privilegiada podía causar que una llamada transmitida siguiera transmitiendo audio aunque la llamada apareciera como si hubiera finalizado.

Descripción: Existían inconsistencias de interfaz del usuario en el manejo de las llamadas transmitidas. Para solucionar estos problemas, se mejoró la lógica de protocolo.

CVE-2016-7577: Martin Vigo (@martin_vigo) de salesforce.com

Entrada agregada el 27 de octubre de 2016

FontParser

Disponible para macOS Sierra 10.12

Impacto: Al analizar un tipo de letra creado con fines maliciosos, se podía divulgar información confidencial del usuario.

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.

CVE-2016-4660: Ke Liu de Tencent's Xuanwu Lab

FontParser

Disponible para macOS Sierra 10.12

Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podría ocasionar la ejecución de código arbitrario. 

Descripción: Existía un desbordamiento del búfer en el manejo de los archivos de tipos de letra. Este problema se solucionó mejorando la comprobación de los límites.

CVE-2016-4688: Simon Huang de la compañía Alipay, thelongestusernameofall@gmail.com

Entrada agregada el 27 de noviembre de 2016

IDS: conectividad

Disponible para macOS Sierra 10.12

Impacto: Un atacante con una posición de red privilegiada podía engañar a un usuario durante una llamada en grupo para que creyera que estaba hablando con otra persona.

Descripción: Existía un problema de falsificación de identidad en el manejo del paso de llamadas. Este problema se solucionó mejorando el manejo de las notificaciones de “paso de llamadas”.

CVE-2016-4721: Martin Vigo (@martin_vigo) de salesforce.com

Entrada agregada el 27 de octubre de 2016

ImageIO

Disponible para OS X El Capitan v10.11.6

Impacto: Al analizar un archivo PDF creado con fines malintencionados, se podía provocar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de escritura fuera de los límites mejorando la comprobación de estos.

CVE-2016-4671: Ke Liu de Tencent's Xuanwu Lab, Juwei Lin (@fuzzerDOTcn)

ImageIO

Disponible para OS X Yosemite v10.10.5 y OS X El Capitan v10.11.6

Impacto: El procesamiento de una imagen creada con fines malintencionados podía provocar la divulgación de la memoria de un proceso.

Descripción: Existía un problema de lectura fuera de límites en el análisis de imágenes SGI. Este problema se solucionó mejorando la comprobación de los límites.

CVE-2016-4682: Ke Liu de Tencent's Xuanwu Lab

ImageIO

Disponible para OS X El Capitan v10.11.6

Impacto: Un atacante remoto podía ejecutar código arbitrario.

Descripción: Existían múltiples problemas de lectura y escritura fuera de los límites en el análisis de archivos SGI. Para solucionar estos problemas, se mejoró la validación de entradas.

CVE-2016-4683: Ke Liu de Tencent’s Xuanwu Lab

Entrada agregada el 25 de octubre de 2016

Kernel

Disponible para OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 y macOS Sierra 10.12

Impacto: Un usuario local podía provocar la finalización inesperada del sistema o la ejecución de código arbitrario en el kernel

Descripción: Se presentaron varios problemas de validación de entrada en el código generado por MIG. Para solucionar estos problemas, se mejoró la validación.

CVE-2016-4669: Ian Beer de Google Project Zero

Entrada actualizada el 2 de noviembre de 2016

Kernel

Disponible para macOS Sierra 10.12

Impacto: Una aplicación local podía ejecutar código arbitrario con privilegios de usuario raíz.

Descripción: Existían varios problemas de duración de objetos al generar nuevos procesos. Para solucionar estos problemas, se mejoró la validación.

CVE-2016-7613: Ian Beer de Google Project Zero

Entrada agregada el 1 de noviembre de 2016

libarchive

Disponible para macOS Sierra 10.12

Impacto: Un archivo creado con fines maliciosos podía sobrescribir archivos arbitrarios.

Descripción: Existía un problema en la lógica de validación de ruta para los vínculos simbólicos. Para solucionar este problema, se mejoró el saneamiento de la ruta.

CVE-2016-4679: Omer Medan de enSilo Ltd

libxpc

Disponible para macOS Sierra 10.12

Impacto: Una aplicación podría ejecutar código arbitrario con privilegios de usuario root.

Descripción: Un problema de lógica se solucionó mediante restricciones adicionales.

CVE-2016-4675: Ian Beer de Google Project Zero

Entrada actualizada el 30 de marzo de 2017

ntfs

Disponible para macOS Sierra 10.12

Impacto: Una aplicación podía producir una denegación de servicio.

Descripción: Existía un problema en el procesamiento de imágenes de disco. Este problema se solucionó mejorando la validación.

CVE-2016-4661: Recurity Labs en representación de BSI (Oficina Federal para la Seguridad de la Información de Alemania)

Unidades de procesamiento gráfico NVIDIA

Disponible para OS X Yosemite v10.10.5 y OS X El Capitan v10.11.6

Impacto: Una aplicación podía producir una denegación de servicio.

Descripción: Se solucionó un problema de daño en la memoria mejorando la validación de entradas.

CVE-2016-4663: Apple

Seguridad

Disponible para macOS Sierra 10.12

Impacto: Un atacante local podía observar el largo de la contraseña cuando un usuario iniciaba sesión.

Descripción: Existía un problema de inicio de sesión en el manejo de contraseñas. El problema se solucionó quitando el largo de la contraseña al iniciar sesión.

CVE-2016-4670: Daniel Jalkut de Red Sweater Software

Entrada actualizada el 25 de octubre de 2016

Thunderbolt

Disponible para macOS Sierra 10.12

Impacto: Una aplicación podría ejecutar código arbitrario con privilegios del kernel.

Descripción: Un problema de falta de referencia de puntero nulo se solucionó mejorando la validación de entradas. 

CVE-2016-4780: sweetchip de Grayhash

Entrada agregada el 29 de noviembre de 2016

macOS Sierra 10.12.1 incluye el contenido de seguridad de Safari 10.0.1.

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: