Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos de Apple.
Para obtener información acerca de la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información acerca de las actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
OS X Mountain Lion v10.8.4 y actualización de seguridad 2013-002
Nota: En OS X Mountain Lion v10.8.4, se incluye el contenido de Safari 6.0.5. Para obtener más información, consulta Acerca del contenido de seguridad de Safari 6.0.5.
-
CFNetwork
Disponible para: OS X Mountain Lion v10.8 a v10.8.3
Impacto: un atacante con acceso a la sesión de un usuario podría iniciar sesión en los sitios a los que accedió anteriormente, incluso aunque se haya usado navegación privada.
Descripción: se guardaron cookies permanentes después de cerrar Safari, incluso aunque la navegación privada estuviera activada. Este problema se solucionó mejorando la administración de las cookies.
ID CVE
CVE-2013-0982: Alexander Traud, de www.traud.de
-
CoreAnimation
Disponible para: OS X Mountain Lion v10.8 a v10.8.3
Impacto: visitar un sitio web creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: existía un problema de asignación de pila ilimitada en la administración de glifos de texto. Esto se podía activar gracias a las URL creadas con fines maliciosos de Safari. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2013-0983: David Fifield de la Universidad de Stanford, Ben Syverson
-
CoreMedia Playback
Disponible para: OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.3
Impacto: la visualización de un archivo de película creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: existía un problema de acceso a la memoria no inicializada en la administración de pistas de texto. Este problema se solucionó mediante la validación adicional de las pistas de texto.
ID CVE
CVE-2013-1024: Richard Kuo y Billy Suguitan de Triemt Corporation
-
CUPS
Disponible para: OS X Mountain Lion v10.8 a v10.8.3
Impacto: un usuario local del grupo lpadmin podría leer o escribir archivos desconocidos con privilegios del sistema.
Descripción: existía un problema de escalación de privilegios en la administración de la configuración de CUPS mediante la interfaz web de CUPS. Un usuario local del grupo lpadmin podría leer o escribir archivos ocultos con privilegios del sistema. Este problema se solucionó moviendo determinadas directivas de configuración a cups-files.conf, que no se puede modificar desde la interfaz web de CUPS.
ID CVE
CVE-2012-5519
-
Servicio de directorio
Disponible para: Mac OS X v 10.6.8, Mac OS X Server v 10.6.8
Impacto: un atacante remoto podría ejecutar código arbitrario con privilegios del sistema en sistemas con Servicio de directorio activado.
Descripción: existía un problema en la administración de los mensajes de la red por parte del servidor de directorios. Al enviar un mensaje creado con fines maliciosos, un atacante remoto podía ocasionar el cierre del servidor de directorios o la ejecución de código arbitrario con privilegios del sistema. Este problema se solucionó mejorando la comprobación de los límites y no afecta los sistemas con OS X Lion y OS X Mountain Lion.
ID CVE
CVE-2013-0984: Nicolas Economou de Core Security
-
Disk Management
Disponible para: OS X Mountain Lion v10.8 a v10.8.3
Impacto: un usuario local podría desactivar FileVault.
Descripción: un usuario local que no es administrador podría desactivar FileVault usando la línea de comandos. Este problema se solucionó agregando autenticación adicional.
ID CVE
CVE-2013-0985
-
OpenSSL
Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.3
Impacto: un atacante podría desencriptar datos protegidos mediante SSL.
Descripción: se producían ataques conocidos en la confidencialidad de TLS 1.0 cuando se activaba la compresión. Este problema se solucionó desactivando la compresión en OpenSSL.
ID CVE
CVE-2012-4929: Juliano Rizzo y Thai Duong
-
OpenSSL
Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.3
Impacto: varias vulnerabilidades en OpenSSL.
Descripción: OpenSSL se actualizó a la versión 0.9.8x para solucionar varias vulnerabilidades, que podrían ocasionar la denegación de servicio o la revelación de una clave privada. Para obtener más información, visita el sitio web de OpenSSL: http://www.openssl.org/news/.
ID CVE
CVE-2011-1945
CVE-2011-3207
CVE-2011-3210
CVE-2011-4108
CVE-2011-4109
CVE-2011-4576
CVE-2011-4577
CVE-2011-4619
CVE-2012-0050
CVE-2012-2110
CVE-2012-2131
CVE-2012-2333
-
QuickDraw Manager
Disponible para: OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.2
Impacto: la apertura de una imagen PICT creada con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: existía un desbordamiento del búfer en la administración de imágenes PICT. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2013-0975: Tobias Klein, colaborador de Zero Day Initiative de HP
-
QuickTime
Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.3
Impacto: la visualización de un archivo de película creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: se producía un desbordamiento del búfer en la administración de átomos ‘enof’. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2013-0986: Tom Gallagher (Microsoft) y Paul Bates (Microsoft), colaboradores de Zero Day Initiative de HP
-
QuickTime
Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.3
Impacto: la visualización de un archivo QTIF creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: existía un problema de errores de memoria en la administración de archivos QTIF. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2013-0987: roob, colaborador de iDefense VCP
-
QuickTime
Disponible para: Mac OS X 10.6.8, Mac OS X Server 10.6.8, OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.3
Impacto: la visualización de un archivo FPX creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: se producía un desbordamiento del búfer en la administración de archivos FPX. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2013-0988: G. Geshev, colaborador de Zero Day Initiative de HP
-
QuickTime
Disponible para: OS X Mountain Lion v10.8 a v10.8.3
Impacto: la reproducción de un archivo MP3 creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.
Descripción: se producía un desbordamiento del búfer en la administración de archivos MP3. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2013-0989: G. Geshev, colaborador de Zero Day Initiative de HP
-
Ruby
Disponible para: Mac OS X v 10.6.8, Mac OS X Server v 10.6.8
Impacto: varias vulnerabilidades en Ruby on Rails.
Descripción: existían varias vulnerabilidades en Ruby on Rails; la más grave podía ocasionar la ejecución de código arbitrario en sistemas que ejecutan aplicaciones con Ruby on Rails. Estos problemas, que podrían afectar sistemas con OS X Lion o OS X Mountain Lion que se hayan actualizado de Mac OS X 10.6.8 o una versión anterior, se solucionaron actualizando Ruby on Rails a la versión 2.3.18. Los usuarios pueden actualizar las partes afectadas de dichos sistemas con la utilidad /usr/bin/gem.
ID CVE
CVE-2013-0155
CVE-2013-0276
CVE-2013-0277
CVE-2013-0333
CVE-2013-1854
CVE-2013-1855
CVE-2013-1856
CVE-2013-1857
-
SMB
Disponible para: OS X Lion v10.7 a v10.7.5, OS X Lion Server v10.7 a v10.7.5 y OS X Mountain Lion v10.8 a v10.8.3
Impacto: un usuario autenticado podría escribir archivos fuera del directorio compartido.
Descripción: si está activada la función de compartir archivos SMB, un usuario autenticado podría escribir archivos fuera del directorio compartido. Este problema se solucionó mejorando el control de acceso.
ID CVE
CVE-2013-0990: Ward van Wanrooij
-
Nota: A partir de OS X v10.8.4, las aplicaciones de Java Web Start (es decir, JNLP) descargadas de Internet deben estar firmadas con un certificado de identificación de desarrollador. Gatekeeper comprueba si las aplicaciones de Java Web Start descargadas tienen firma y las bloquea para que no se inicien si no están debidamente firmadas.