Acerca del contenido de seguridad de OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 y la Actualización de seguridad 2012-004

Obtén información sobre el contenido de seguridad de OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 y la Actualización de seguridad 2012-004.

Este documento describe el contenido de seguridad de OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 y la Actualización de seguridad 2012-004.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos Apple, visita "Cómo usar la clave PGP de seguridad de los productos Apple".

Siempre que sea posible, se usan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.

Para obtener información acerca de las actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".

OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 y Actualización de seguridad 2012-004

Nota: OS X Mountain Lion v10.8.2 incluye el contenido de Safari 6.0.1. Para conocer más detalles, consulta Acerca del contenido de seguridad de Safari 6.0.1.

  • Apache

    Disponible para Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4 y OS X Lion Server v10.7 a v10.7.4

    Impacto: Varias vulnerabilidades en Apache.

    Descripción: Apache se ha actualizado a la versión 2.2.22 para solucionar diversas vulnerabilidades. La más grave de ellas podría provocar la denegación del servicio. Para obtener más información, visita el sitio web de Apache: http://httpd.apache.org/. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2011-3368

    CVE-2011-3607

    CVE-2011-4317

    CVE-2012-0021

    CVE-2012-0031

    CVE-2012-0053

  • BIND

    Disponible para OS X Lion v10.7 a v10.7.4 y OS X Lion Server v10.7 a v10.7.4

    Impacto: Un atacante remoto podría ser capaz de provocar una denegación del servicio en sistemas configurados para usar BIND como servidor de nombres DNS.

    Descripción: Existía un problema de aserción asequible en la gestión de registros DNS. Este problema se solucionó actualizando a BIND 9.7.6-P1. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2011-4313

  • BIND

    Disponible para OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 a v10.7.4, y OS X Mountain Lion v10.8 y v10.8.1

    Impacto: Un atacante remoto podría ser capaz de provocar una denegación del servicio, dañar datos u obtener información confidencial a partir de la memoria de procesos en sistemas configurados para ejecutar BIND como servidor de nombres DNS.

    Descripción: Existía un problema de gestión de memoria en la gestión de registros DNS. Este problema se solucionó actualizando a BIND 9.7.6-P1 en sistemas OS X Lion, y a BIND 9.8.3-P1 en sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-1667

  • CoreText

    Disponible para OS X Lion v10.7 a v10.7.4 y OS X Lion Server v10.7 a v10.7.4

    Impacto: Las aplicaciones que usan CoreText pueden ser vulnerables al cierre inesperado de la aplicación o a la ejecución de código arbitrario.

    Descripción: Existía un problema de comprobación de límites en la gestión de glifos de texto que podía provocar lecturas o escrituras de memoria fuera de límites. Este problema se solucionó mejorando la comprobación de los límites. Este problema no afecta a sistemas Mac OS X v10.6 u OS X Mountain Lion.

    ID CVE

    CVE-2012-3716: Jesse Ruderman, de Mozilla Corporation

  • Seguridad de datos

    Disponible para Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 a v10.7.4, y OS X Mountain Lion v10.8 y v10.8.1

    Impacto: Un atacante con una posición de red privilegiada podría interceptar credenciales de usuario u otra información confidencial.

    Descripción: TrustWave, una AC raíz de confianza, ha emitido (y posteriormente revocado) un certificado sub-AC de uno de sus anclajes de confianza. Esta sub-AC facilitaba la intercepción de comunicaciones protegidas mediante TLS (seguridad de la capa de transporte). Esta actualización agrega el certificado sub-AC implicado a la lista de certificados no confiables de OS X.

  • DirectoryService

    Disponible para Mac OS X v10.6.8 y Mac OS X Server v10.6.8

    Impacto: Si se usa el proxy DirectoryService, un atacante remoto podría provocar una denegación de servicio o la ejecución de código arbitrario.

    Descripción: Existía un desbordamiento del búfer en el proxy DirectoryService. Este problema se solucionó mejorando la comprobación de los límites. Este problema no afecta a los sistemas OS X Lion y Mountain Lion.

    ID CVE

    CVE-2012-0650: aazubel, en colaboración con la iniciativa Zero Day de HP

  • ImageIO

    Disponible para Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4 y OS X Lion Server v10.7 a v10.7.4

    Impacto: La visualización de una imagen PNG creada con fines malintencionados podría provocar la finalización inesperada de una aplicación o la ejecución de código arbitrario.

    Descripción: Existían varios problemas de daños de memoria en el manejo de imágenes PNG por parte de libpng. Estos problemas se solucionaron mejorando la validación de las imágenes PNG. Estos problemas no afectan a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2011-3026: Jüri Aedla

    CVE-2011-3048

  • ImageIO

    Disponible para Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4 y OS X Lion Server v10.7 a v10.7.4

    Impacto: La visualización una imagen TIFF creada con fines malintencionados puede ocasionar el cierre de la aplicación de manera inesperada o la ejecución de código arbitrario.

    Descripción: Existía un problema de desbordamiento de enteros en la gestión de imágenes TIFF por parte de libTIFF. Este problema se resolvió mejorando la validación de las imágenes TIFF. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-1173: Alexander Gavrun, en colaboración con la iniciativa Zero Day de HP

  • Installer

    Disponible para OS X Lion v10.7 a v10.7.4 y OS X Lion Server v10.7 a v10.7.4

    Impacto: Los administradores remotos y las personas con acceso físico al sistema podrían obtener información sobre las cuentas.

    Descripción: La solución para CVE-2012-0652 en OS X Lion v10.7.4 impedía que las contraseñas de los usuarios se guardaran en el registro del sistema, pero no eliminaba las entradas de registro antiguas. Este problema se solucionó eliminando los archivos de registro que contenían contraseñas. Este problema no afecta a los sistemas Mac OS X v10.6 u OS X Mountain Lion.

    ID CVE

    CVE-2012-0652

  • Componentes internacionales para Unicode

    Disponible para Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4 y OS X Lion Server v10.7 a v10.7.4

    Impacto: Las aplicaciones que usan componentes internacionales para Unicode (ICU) pueden ser vulnerables al cierre inesperado de la aplicación o a la ejecución de código arbitrario.

    Descripción: Existía un desbordamiento del búfer de pila en la gestión de ID de ubicación de ICU. Este problema se solucionó mejorando la comprobación de los límites. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2011-4599

  • Kernel

    Disponible para OS X Lion v10.7 a v10.7.4 y OS X Lion Server v10.7 a v10.7.4

    Impacto: Un programa malicioso podía evitar las restricciones de jaula de apps.

    Descripción: Existía un problema lógico en la gestión de llamadas del sistema de depuración. Esto podía permitir a un programa malicioso obtener ejecución de código en otros programas con los mismos privilegios de usuario. Este problema se solucionó desactivando la gestión de direcciones en PT_STEP y PT_CONTINUE. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-0643: iOS Jailbreak Dream Team

  • LoginWindow

    Disponible para OS X Mountain Lion v10.8 y v10.8.1

    Impacto: Un usuario local podría ser capaz de obtener las contraseñas de inicio de sesión de otros usuarios.

    Descripción: Un método de entrada instalado por un usuario podría interceptar las pulsaciones de tecla de contraseñas en la ventana de inicio de sesión o al desbloquear el protector de pantalla. Este problema se solucionó impidiendo que se usen métodos instalados por usuarios cuando el sistema gestiona la información de inicio de sesión.

    ID CVE

    CVE-2012-3718: Lukhnos Liu

  • Mail

    Disponible para Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4 y OS X Lion Server v10.7 a v10.7.4

    Impacto: Ver un mensaje de correo electrónico podría provocar la ejecución de módulos web.

    Descripción: Existía un error de validación de entrada en la gestión de módulos web incrustados por parte de Mail. Este problema se solucionó desactivando los módulos de terceros en Mail. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-3719: Will Dormann, de CERT/CC

  • Cuentas móviles

    Disponible para OS X Mountain Lion v10.8 y v10.8.1

    Impacto: Un usuario con acceso a los contenidos de una cuenta móvil puede obtener la contraseña de la cuenta.

    Descripción: Al crear una cuenta móvil, se guardaba un hash de la contraseña en la cuenta, que se usaba para iniciar sesión cuando se usaba la cuenta móvil como cuenta externa. El hash de la contraseña podría usarse para averiguar la contraseña del usuario. Este problema se solucionó creando el hash de contraseña solo si las cuentas externas están habilitadas en el sistema en el que se ha creado la cuenta móvil.

    ID CVE

    CVE-2012-3720: Harald Wagener, de Google, Inc.

  • PHP

    Disponible para Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4, OS X Lion Server v10.7 a v10.7.4, y OS X Mountain Lion v10.8 y v10.8.1

    Impacto: Varias vulnerabilidades en PHP.

    Descripción: >PHP se actualiza a la versión 5.3.15 para resolver varias vulnerabilidades, la más grave de las cuales puede provocar la ejecución de código arbitrario. Para obtener más información, visita el sitio web de PHP en http://www.php.net

    ID CVE

    CVE-2012-0831

    CVE-2012-1172

    CVE-2012-1823

    CVE-2012-2143

    CVE-2012-2311

    CVE-2012-2386

    CVE-2012-2688

  • PHP

    Disponible para Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4 y OS X Lion Server v10.7 a v10.7.4

    Impacto: Los scripts PHP que usan libpng pueden ser vulnerables al cierre inesperado de la aplicación o a la ejecución de código arbitrario.

    Descripción: Existía un problema de memoria dañada en la gestión de archivos PNG. Este problema se solucionó actualizando la copia de libpng de PHP a la versión 1.5.10. El problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2011-3048

  • Gestor de Perfiles

    Disponible para OS X Lion Server v10.7 a v10.7.4

    Impacto: Un usuario no autenticado podría enumerar dispositivos administrados.

    Descripción: Existía un problema de autenticación en la interfaz privada de Gestión de dispositivos. Este problema se solucionó eliminando la interfaz.

    Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-3721: Derick Cassidy, de XEquals Corporation

  • QuickLook

    Disponible para Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4 y OS X Lion Server v10.7 a v10.7.4

    Impacto: La visualización de un archivo .pict creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.

    Descripción: Existía un problema de memoria dañada en la gestión de archivos .pict. Este problema se solucionó mejorando la validación de los archivos .pict. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-0671: Rodrigo Rubira Branco (twitter.com/bsdaemon), de Qualys Vulnerability & Malware Research Labs (VMRL)

  • QuickTime

    Disponible para Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4 y OS X Lion Server v10.7 a v10.7.4

    Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.

    Descripción: Existía un desbordamiento de enteros en la gestión de átomos "Sean" por parte de QuickTime. Este problema se solucionó mejorando la comprobación de los límites. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-0670: Tom Gallagher (Microsoft) y Paul Bates (Microsoft), en colaboración con la iniciativa Zero Day de HP

  • QuickTime

    Disponible para Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4 y OS X Lion Server v10.7 a v10.7.4

    Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.

    Descripción: Existía un problema de acceso a la memoria no inicializada en la gestión de archivos de película con codificación Sorenson. Este problema se solucionó mejorando la inicialización de la memoria. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-3722: Will Dormann, de CERT/CC

  • QuickTime

    Disponible para Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4 y OS X Lion Server v10.7 a v10.7.4

    Impacto: La visualización de un archivo de película creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario.

    Descripción: Existía un problema de desbordamiento de búfer en la gestión de archivos de película con codificación RLE. Este problema se solucionó mejorando la comprobación de los límites. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-0668: Luigi Auriemma, en colaboración con la iniciativa Zero Day de HP

  • Ruby

    Disponible para Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 a v10.7.4 y OS X Lion Server v10.7 a v10.7.4

    Impacto: Un atacante podría ser capaz de descifrar datos protegidos mediante SSL.

    Descripción: Existen ataques conocidos contra la confidencialidad de SSL 3.0 y TLS 1.0 cuando una suite de cifrado usa un cifrado por bloques en modo CBC. El módulo OpenSSL de Ruby desactivaba la contramedida "fragmento vacío" que impedía estos ataques. Este problema se solucionó activando los fragmentos vacíos. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2011-3389

  • USB

    Disponible para OS X Lion v10.7 a v10.7.4 y OS X Lion Server v10.7 a v10.7.4

    Impacto: Conectar un dispositivo USB podría provocar el cierre inesperado del sistema o la ejecución de código arbitrario.

    Descripción: Existía un problema de memoria dañada en la gestión de descriptores de hubs USB. Este problema se solucionó mejorando la gestión del campo descriptor bNbrPorts. Este problema no afecta a los sistemas OS X Mountain Lion.

    ID CVE

    CVE-2012-3723: Andy Davis, de NGS Secure

 

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: