Esta actualización se puede descargar e instalar con Actualización de software o desde el sitio web de Soporte técnico de Apple.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener información acerca de la Clave PGP de la Seguridad de los productos de Apple, visita "Cómo usar la Clave PGP de la Seguridad de los productos de Apple".
Siempre que sea posible, se utilizan ID CVE para hacer referencia a las vulnerabilidades a fin de obtener más información.
Para obtener información acerca de las actualizaciones de seguridad, consulta "Actualizaciones de seguridad de Apple".
- 

- 

CFNetwork HTTPProtocol

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks 10.9.2

Impacto: Un atacante en una posición de red privilegiada puede obtener credenciales de sitio web

Descripción: Los encabezados HTTP con cookies definidas se procesarían incluso aunque la conexión se cerrara antes de que se completara la línea del encabezado. Un atacante podría desmontar la configuración de seguridad de la cookie forzando el cierre de la conexión antes de que se enviara la configuración de seguridad y podría entonces obtener el valor de la cookie desprotegida. Este problema se solucionó mediante la omisión de las líneas de encabezado HTTP incompletas.

ID CVE

CVE-2014-1296: Antoine Delignat-Lavaud de Prosecco en Inria Paris

 

- 

- 

CoreServicesUIAgent

Disponible para: OS X Mavericks 10.9.2

Impacto: Visitar una URL o un sitio web malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

Descripción: Había un problema de cadena de formato al procesar las URL. Este problema se solucionó mediante la validación adicional de las URL. Este problema no afecta los sistemas anteriores a OS X Mavericks.

ID CVE

CVE-2014-1315: Lukasz Pilorz de runic.pl, Erik Kooistra

 

- 

- 

FontParser

Disponible para: OS X Mountain Lion v10.8.5

Impacto: Abrir un PDF malintencionado podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

Descripción: Había un subdesbordamiento del búfer al procesar los tipos de letra de los archivos PDF. Este problema se solucionó mediante comprobaciones de límites adicionales. Este problema no afecta a los sistemas OS X Mavericks.

ID CVE

CVE-2013-5170: Will Dormann de CERT/CC

 

- 

- 

Heimdal Kerberos

Disponible para: OS X Mavericks 10.9.2

Impacto: Un atacante remoto podría provocar una denegación de servicio

Descripción: Había una anulación accesible al procesar los datos ASN.1. Este problema se solucionó mediante la validación adicional de los datos ASN.1.

ID CVE

CVE-2014-1316: Joonas Kuorilehto de Codenomicon

 

- 

- 

ImageIO

Disponible para: OS X Mavericks 10.9.2

Impacto: La visualización de una imagen JPEG creada de manera malintencionada puede ocasionar la finalización inesperada de la aplicación o la ejecución de código arbitrario

Descripción: Había un problema de desbordamiento del búfer cuando ImageIO procesaba las imágenes JPEG. Este problema se solucionó mejorando la comprobación de los límites. Este problema no afecta los sistemas anteriores a OS X Mavericks.

ID CVE

CVE-2014-1319: Cristian Draghici de Modulo Consulting, Karl Smith de NCC Group

 

- 

- 

Driver de gráficos Intel

Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks 10.9.2

Impacto: Una aplicación malintencionada podría tomar control del sistema

Descripción: Había un problema de validación al procesar un puntero de userspace. Este problema se solucionó mediante la validación adicional de los punteros.

ID CVE

CVE-2014-1318: Ian Beer de Google Project Zero en colaboración con Zero Day Initiative de HP

 

- 

- 

IOKit Kernel

Disponible para: OS X Mavericks 10.9.2

Impacto: Un usuario local puede leer punteros de kernel, que pueden usarse para omitir la aleatorización del espacio de direcciones de kernel

Descripción: Un conjunto de punteros de kernel almacenados en un objeto IOKit podía recuperarse de userland. Este problema se solucionó mediante la eliminación de los punteros del objeto.

ID CVE

CVE-2014-1320: Ian Beer de Google Project Zero en colaboración con Zero Day Initiative de HP

 

- 

- 

Kernel

Disponible para: OS X Mavericks 10.9.2

Impacto: Un usuario local puede leer punteros de kernel, que podría usarse para omitir la aleatorización del espacio de direcciones de kernel

Descripción: Un puntero de kernel almacenado en un objeto XNU podía recuperarse de userland. Este problema se solucionó mediante la eliminación del puntero del objeto.

ID CVE

CVE-2014-1322: Ian Beer de Google Project Zero

 

- 

- 

Administración de la alimentación

Disponible para: OS X Mavericks 10.9.2

Impacto: La pantalla podía no bloquearse

Descripción: Si se presionaba una tecla o se tocaba el trackpad justo antes de cerrar la tapa, el sistema podía intentar activarse al entrar en reposo y, en tal caso, la pantalla podía quedar desbloqueada. Este problema se solucionó mediante la omisión de las teclas que se presionen mientras el equipo entra en reposo. Este problema no afecta los sistemas anteriores a OS X Mavericks.

ID CVE

CVE-2014-1321: Paul Kleeberg de Stratis Health Bloomington MN, Julian Sincu de Baden-Wuerttemberg Cooperative State University (DHBW Stuttgart), Gerben Wierda de R&A, Daniel Luz

 

- 

- 

Ruby

Disponible para: OS X Mavericks 10.9.2

Impacto: Ejecutar un script de Ruby que procese etiquetas YAML que no sean de confianza podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

Descripción: Había un problema de desbordamiento de enteros al procesar las etiquetas YAML por parte de LibYAML. Este problema se solucionó mediante la validación adicional de las etiquetas YAML. Este problema no afecta los sistemas anteriores a OS X Mavericks.

ID CVE

CVE-2013-6393

 

- 

- 

Ruby

Disponible para: OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 y OS X Mavericks 10.9.2

Impacto: Ejecutar un script de Ruby que usa entrada que no sea de confianza para crear un objeto Float podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

Descripción: Había un problema de desbordamiento del búfer de pila en Ruby al convertir una cadena en un valor de coma flotante. Este problema se solucionó mediante la validación adicional de los valores de coma flotantes.

ID CVE

CVE-2013-4164

 

- 

- 

Seguridad: Secure Transport

Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks 10.9.2

Impacto: Un atacante con una posición de red privilegiada puede capturar datos o cambiar las operaciones que se realizan en sesiones protegidas por SSL

Descripción: En un ataque de "triple enlace", era posible que un atacante estableciera dos conexiones que tuvieran las mismas claves de cifrado y el mismo enlace, insertar los datos del atacante en una conexión y renegociar para que las conexiones puedan reenviarse entre sí. A fin de impedir los ataques basados en esta situación, Secure Transport se cambió para que, de forma predeterminada, las renegociaciones deban presentar el mismo certificado de servidor que se presentó en la conexión original. Este problema no afecta a los sistemas Mac OS X 10.7 y versiones anteriores.

ID CVE

CVE-2014-1295: Antoine Delignat-Lavaud, Karthikeyan Bhargavan y Alfredo Pironti de Prosecco en Inria Paris

 

- 

- 

WindowServer

Disponible para: OS X Mountain Lion v10.8.5 y OS X Mavericks 10.9.2

Impacto: Aplicaciones malintencionadas podrían ejecutar código arbitrario fuera de la zona protegida

Descripción: Aplicaciones situadas en la zona protegida podrían crear sesiones de WindowServer. Este problema se solucionó mediante la anulación del permiso de las aplicaciones de la zona protegida para que no puedan crear sesiones de WindowServer.

ID CVE

CVE-2014-1314: KeenTeam en colaboración con Zero Day Initiative de HP

 

- 



Nota: La Actualización de seguridad 2014-002 para los sistemas OS X Mavericks incluye el contenido de seguridad de Safari 7.0.3.