Acerca del contenido de seguridad de OS X Yosemite v10.10.4 y de la actualización de seguridad 2015-005

En este documento, se describe el contenido de seguridad de OS X Yosemite v10.10.4 y la actualización de seguridad 2015-005.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

OS X Yosemite v10.10.4 y actualización de seguridad 2015-005

  • Entorno de administradores

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: un proceso puede obtener privilegios de administrador sin una autenticación adecuada.

    Descripción: existía un problema al comprobar autorizaciones de XPC. Este problema se solucionó mejorando la comprobación de autorizaciones.

    ID CVE

    CVE-2015-3671: Emil Kvarnhammar de TrueSec

  • Entorno de administradores

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: un usuario sin derechos de administrador podría obtener estos derechos.

    Descripción: existía un problema en la administración de la autenticación de usuarios. Este problema se solucionó mejorando la comprobación de errores.

    ID CVE

    CVE-2015-3672: Emil Kvarnhammar de TrueSec

  • Entorno de administradores

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: un atacante podría hacer mal uso de la Utilidad de directorios para obtener privilegios de root.

    Descripción: la Utilidad de directorios se movió y se modificó para lograr la ejecución de código en un proceso autorizado. Este problema se solucionó limitando la ubicación de disco desde la que se podían ejecutar los clientes de writeconfig.

    ID CVE

    CVE-2015-3673: Patrick Wardle de Synack y Emil Kvarnhammar de TrueSec

  • afpserver

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: un atacante remoto podría ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: existía un problema de errores de memoria en el servidor AFP. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-3674: Dean Jerkovich de NCC Group

  • apache

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: un atacante podía acceder a los directorios protegidos con autenticación HTTP sin conocer las credenciales correctas.

    Descripción: la configuración predeterminada de Apache no incluía mod_hfs_apple. Si Apache se activó de manera manual y la configuración no se modificó, es posible que algunos archivos que no debían ser accesibles lo fueran mediante una URL creada especialmente. Este problema se solucionó activando mod_hfs_apple.

    ID CVE

    CVE-2015-3675: Apple

  • apache

    Disponible para: OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: existen varias vulnerabilidades en PHP; la más grave podría ocasionar la ejecución de código arbitrario.

    Descripción: existían varias vulnerabilidades en las versiones de PHP anteriores a las 5.5.24 y 5.4.40. Se solucionaron actualizando PHP a las versiones 5.5.24 y 5.4.40.

    ID CVE

    CVE-2015-0235

    CVE-2015-0273

  • AppleGraphicsControl

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación malintencionada podría determinar la distribución de la memoria del kernel.

    Descripción: existía un problema en AppleGraphicsControl que podría haber ocasionado la divulgación de la distribución de la memoria del kernel. Para solucionar este problema, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2015-3676: Chen Liang de KEEN Team

  • AppleFSCompression

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación malintencionada podría determinar la distribución de la memoria del kernel.

    Descripción: existía un problema en la compresión de LZVN que podría haber ocasionado la divulgación de contenido de la memoria del kernel. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-3677: un investigador anónimo, en colaboración con la iniciativa Zero Day de HP

  • AppleThunderboltEDMService

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existía un problema de errores de memoria en la administración de ciertos comandos de Thunderbolt por parte de procesos locales. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-3678: Apple

  • ATS

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: el procesamiento de un archivo de tipo de letra creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existían varios problemas de errores de memoria en la administración de ciertos tipos de letra. Estos problemas se solucionaron mejorando la administración de la memoria.

    ID CVE

    CVE-2015-3679: Pawel Wylecial, en colaboración con la iniciativa Zero Day de HP

    CVE-2015-3680: Pawel Wylecial, en colaboración con la iniciativa Zero Day de HP

    CVE-2015-3681: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3682: 魏诺德

  • Bluetooth

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existía un problema de errores de memoria en la interfaz de Bluetooth HCI. Este problema se solucionó mejorando la administración de la memoria.

    ID CVE

    CVE-2015-3683: Roberto Paleari y Aristide Fattori de Emaze Networks

  • Política de confianza en certificados

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: un atacante con una posición de red privilegiada podría interceptar el tráfico de red.

    Descripción: la autoridad de certificados CNNIC emitió incorrectamente un certificado intermedio. Este problema se solucionó agregando un mecanismo que permite confiar solamente en un subconjunto de certificados emitidos antes de la emisión errónea del certificado intermedio. Puedes obtener más información acerca de la lista de seguridad de confianza parcial.

  • Política de confianza en certificados

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Descripción: La política de confianza en certificados se actualizó. La lista de certificados completa se puede ver en OS X Trust Store.

  • CFNetwork HTTPAuthentication

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: acceder a una URL creada con fines maliciosos podría ocasionar la ejecución de código arbitrario.

    Descripción: existía un problema de errores de memoria en la administración de ciertas credenciales de URL. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-3684: Apple

  • CoreText

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: el procesamiento de un archivo de texto creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existían varios problemas de errores de memoria en el procesamiento de los archivos de texto. Estos problemas se solucionaron mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3689: Apple

  • coreTLS

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: un atacante con una posición de red privilegiada podría interceptar conexiones SSL/TLS.

    Descripción: coreTLS aceptaba claves efímeras Diffie-Hellman (DH), tal como se usaban en los conjuntos de encriptación efímera DH con fortaleza de exportación. Este problema, también conocido como Logjam, permitía que un atacante con una posición de red privilegiada redujera la seguridad de DH a 512 bits si el servidor admitía un conjunto de encriptación efímera DH con fortaleza de exportación. El problema se solucionó aumentando a 768 bits el tamaño mínimo predeterminado que se admite para las claves efímeras.

    ID CVE

    CVE-2015-4000: equipo de weakdh (weakdh.org) y Hanno Boeck

  • Imágenes de disco

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación malintencionada podría determinar la distribución de la memoria del kernel.

    Descripción: existía un problema de divulgación de información en la administración de las imágenes de disco. Para resolver este problema, se mejoró la administración de la memoria.

    ID CVE

    CVE-2015-3690: Peter Rutenbar, en colaboración con la iniciativa Zero Day de HP

  • Drivers de pantalla

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existía un problema en la extensión del kernel del conjunto de comandos de control del monitor que permitía que un proceso de userland controlara el valor de un puntero de función dentro del kernel. Este problema se solucionó eliminando la interfaz afectada.

    ID CVE

    CVE-2015-3691: Roberto Paleari y Aristide Fattori de Emaze Networks

  • EFI

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación maliciosa con privilegios de root podría modificar la memoria flash de la EFI.

    Descripción: existía un problema de bloqueo insuficiente con la memoria flash de la EFI al salir de estados de reposo. Este problema se solucionó mejorando el bloqueo.

    ID CVE

    CVE-2015-3692: Trammell Hudson de Two Sigma Investments, Xeno Kovah y Corey Kallenberg de LegbaCore LLC y Pedro Vilaça

  • EFI

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación maliciosa podría hacer que los errores de memoria aumentaran los privilegios.

    Descripción: existe un error de interferencia, también conocido como Rowhammer, en algunas memorias RAM DDR3 que podría haber ocasionado errores de memoria. El problema se mitigó aumentando los índices de actualización de la memoria.

    ID CVE

    CVE-2015-3693: Mark Seaborn y Thomas Dullien de Google, sobre la base de la investigación previa de Yoongu Kim y otros (2014)

  • FontParser

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: el procesamiento de un archivo de tipo de letra creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existía un problema de errores de memoria en la administración de archivos de tipos de letra. Este problema se solucionó mejorando la validación de entradas.

    ID CVE

    CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team

  • Driver de gráficos

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existía un problema de escritura fuera de los límites en el driver de gráficos de NVIDIA. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-3712: Ian Beer de Google Project Zero

  • Driver de gráficos de Intel

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: existían varios problemas de desbordamiento del búfer en el driver de gráficos de Intel; el más grave podía ocasionar la ejecución de código arbitrario con privilegios del sistema.

    Descripción: existían varios problemas de desbordamiento del búfer en el driver de gráficos de Intel. Estos problemas se solucionaron mediante comprobaciones de límites adicionales.

    ID CVE

    CVE-2015-3695: Ian Beer de Google Project Zero

    CVE-2015-3696: Ian Beer de Google Project Zero

    CVE-2015-3697: Ian Beer de Google Project Zero

    CVE-2015-3698: Ian Beer de Google Project Zero

    CVE-2015-3699: Ian Beer de Google Project Zero

    CVE-2015-3700: Ian Beer de Google Project Zero

    CVE-2015-3701: Ian Beer de Google Project Zero

    CVE-2015-3702: KEEN Team

  • ImageIO

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: existían varias vulnerabilidades en libtiff; la más grave podía ocasionar la ejecución de código arbitrario.

    Descripción: existían varias vulnerabilidades en las versiones de libtiff anteriores a la 4.0.4. Se solucionaron actualizando libtiff a la versión 4.0.4.

    ID CVE

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130

  • ImageIO

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: el procesamiento de un archivo .tiff creado con fines maliciosos podría ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: existía un problema de errores de memoria en la administración de archivos .tiff. Para solucionar este problema, se mejoró la comprobación de los límites.

    ID CVE

    CVE-2015-3703: Apple

  • Install Framework Legacy

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existían varios problemas en la manera en que el archivo binario setuid “runner” de Install.framework restringía los privilegios. Esto se solucionó restringiendo los privilegios correctamente.

    ID CVE

    CVE-2015-3704: Ian Beer de Google Project Zero

  • IOAcceleratorFamily

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existían varios problemas de errores de memoria en IOAcceleratorFamily. Estos problemas se solucionaron mejorando la administración de la memoria.

    ID CVE

    CVE-2015-3705: KEEN Team

    CVE-2015-3706: KEEN Team

  • IOFireWireFamily

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existían varios problemas de eliminación de referencia de puntero nulo en el driver de FireWire. Estos problemas se solucionaron mejorando la comprobación de errores.

    ID CVE

    CVE-2015-3707: Roberto Paleari y Aristide Fattori de Emaze Networks
  • Kernel

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación malintencionada podría determinar la distribución de la memoria del kernel.

    Descripción: existía un problema de administración de memoria en la administración de las API relacionadas con las extensiones del kernel que podría haber ocasionado la divulgación de la distribución de la memoria del kernel. Para resolver este problema, se mejoró la administración de la memoria.

    ID CVE

    CVE-2015-3720: Stefan Esser
  • Kernel

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación malintencionada podría determinar la distribución de la memoria del kernel.

    Descripción: existía un problema de administración de memoria en la administración de los parámetros de HFS que podría haber ocasionado la divulgación de la distribución de la memoria del kernel. Para resolver este problema, se mejoró la administración de la memoria.

    ID CVE

    CVE-2015-3721: Ian Beer de Google Project Zero
  • herramientas kext

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación maliciosa podría sobrescribir archivos arbitrarios.

    Descripción: kextd seguía enlaces simbólicos al crear un archivo nuevo. Este problema se solucionó mejorando la administración de enlaces simbólicos.

    ID CVE

    CVE-2015-3708: Ian Beer de Google Project Zero

  • herramientas kext

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: un usuario local podría cargar extensiones del kernel sin firma.

    Descripción: existía una condición de carrera de tiempo de revisión a tiempo de uso (TOCTOU) al validar las rutas de las extensiones del kernel. Este problema se solucionó mejorando las comprobaciones para validar la ruta de las extensiones del kernel.

    ID CVE

    CVE-2015-3709: Ian Beer de Google Project Zero

  • Mail

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: un correo electrónico creado con fines maliciosos podía reemplazar el contenido del mensaje con una página web arbitraria cuando se visualizara el mensaje.

    Descripción: existía un problema de compatibilidad de correo electrónico HTML que permitía que el contenido del mensaje se actualizara con una página web arbitraria. El problema se solucionó restringiendo la compatibilidad con contenido HTML.

    ID CVE

    CVE-2015-3710: Aaron Sigel de vtty.com y Jan Souček

  • ntfs

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: una aplicación malintencionada podría determinar la distribución de la memoria del kernel.

    Descripción: existía un problema en NTFS que podría haber ocasionado la divulgación de contenido de la memoria del kernel. Para solucionar este problema, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-3711: Peter Rutenbar, en colaboración con la iniciativa Zero Day de HP

  • ntp

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: un atacante con una posición privilegiada podría realizar un ataque de denegación de servicio contra dos clientes ntp.

    Descripción: existían varios problemas de autenticación de los paquetes ntp que recibían los terminales configurados. Estos problemas se solucionaron mejorando la administración del estado de conexión.

    ID CVE

    CVE-2015-1798

    CVE-2015-1799

  • OpenSSL

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: existían varios problemas en OpenSSL, incluido uno que podía permitir a un atacante interceptar conexiones con un servidor que admite encriptaciones de exportación.

    Descripción: existían varios problemas en OpenSSL 0.9.8zd que se solucionaron actualizando OpenSSL a la versión 0.9.8zf.

    ID CVE

    CVE-2015-0209

    CVE-2015-0286

    CVE-2015-0287

    CVE-2015-0288

    CVE-2015-0289

    CVE-2015-0293

  • QuickTime

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: el procesamiento de un archivo de película creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existían varios problemas de errores de memoria en QuickTime. Estos problemas se solucionaron mejorando la administración de la memoria.

    ID CVE

    CVE-2015-3661: G. Geshev, en colaboración con la iniciativa Zero Day de HP

    CVE-2015-3662: kdot, en colaboración con la iniciativa Zero Day de HP

    CVE-2015-3663: kdot, en colaboración con la iniciativa Zero Day de HP

    CVE-2015-3666: Steven Seeley de Source Incite, en colaboración con la iniciativa Zero Day de HP

    CVE-2015-3667: Ryan Pentney y Richard Johnson de Cisco Talos y Kai Lu de FortiGuard Labs de Fortinet

    CVE-2015-3668: Kai Lu de Fortinet's FortiGuard Labs

    CVE-2015-3713: Apple

  • Seguridad

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: un atacante remoto puede ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: existía un problema de desbordamiento de enteros en el código del marco de seguridad para analizar el correo electrónico S/MIME y algunos otros objetos firmados o encriptados. Este problema se solucionó mejorando la comprobación de validez.

    ID CVE

    CVE-2013-1741

  • Seguridad

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: podría no impedirse la ejecución de aplicaciones manipuladas.

    Descripción: las apps que usan reglas de recursos personalizadas podrían haber sido susceptibles de una manipulación que no invalidaba la firma. Este problema se solucionó mejorando la validación de recursos.

    ID CVE

    CVE-2015-3714: Joshua Pitts de Leviathan Security Group

  • Seguridad

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: una app maliciosa podría omitir las comprobaciones de firma de código.

    Descripción: existía un problema que impedía que la firma de código verificara las bibliotecas cargadas fuera del paquete de la aplicación. Este problema se solucionó mejorando la verificación de paquetes.

    ID CVE

    CVE-2015-3715: Patrick Wardle de Synack

  • Spotlight

    Disponible para: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 a v10.10.3

    Impacto: buscar un archivo malicioso con Spotlight podría ocasionar la inyección de comandos.

    Descripción: existía un problema de inyección de comandos en la administración de nombres de archivo de fotos agregadas a la fototeca local. Este problema se solucionó mejorando la validación de entradas.

    ID CVE

    CVE-2015-3716: Apple

  • SQLite

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: un atacante remoto puede ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: existían varios desbordamientos del búfer en la implementación de printf por parte de SQLite. Estos problemas se solucionaron mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-3717: Peter Rutenbar, en colaboración con la iniciativa Zero Day de HP

  • SQLite

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: un comando SQL creado con fines malintencionados podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existía un problema API en la funcionalidad SQLite. Para resolver el problema, se mejoraron las restricciones.

    ID CVE

    CVE-2015-7036: Peter Rutenbar, en colaboración con la iniciativa Zero Day de HP

  • Estadísticas del sistema

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: una app maliciosa podría poner el proceso systemstatsd en peligro.

    Descripción: existía un problema de confusión de tipos en la administración de la comunicación entre procesos por parte de systemstatsd. Al enviar un mensaje con formato malicioso a systemstatsd, podría haber sido posible ejecutar código arbitrario como el proceso systemstatsd. Este problema se solucionó mediante la comprobación adicional de los tipos.

    ID CVE

    CVE-2015-3718: Roberto Paleari y Aristide Fattori de Emaze Networks

  • TrueTypeScaler

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: el procesamiento de un archivo de tipo de letra creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existía un problema de errores de memoria en la administración de archivos de tipos de letra. Este problema se solucionó mejorando la validación de entradas.

    ID CVE

    CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team

  • zip

    Disponible para: OS X Yosemite v10.10 a v10.10.3

    Impacto: la extracción mediante la herramienta de extracción de un archivo .zip creado con fines maliciosos podría ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

    Descripción: existían varios problemas de errores de memoria en la administración de archivos .zip. Estos problemas se solucionaron mejorando la administración de la memoria.

    ID CVE

    CVE-2014-8139

    CVE-2014-8140

    CVE-2014-8141

En OS X Yosemite v10.10.4, se incluye el contenido de seguridad de Safari 8.0.7.

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: